摘要：微软已针对Microsoft Office中的两个高危漏洞发布补丁，攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于2025年9月9日披露，影响该流行办公套件的多个版本。

微软已针对Microsoft Office中的两个高危漏洞发布补丁，攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于2025年9月9日披露，影响该流行办公套件的多个版本。

虽然微软评估当前这两个漏洞被利用的可能性"较低"，但其远程代码执行（RCE）风险仍需用户和管理员立即重视。这两个漏洞在利用方式和严重程度上存在差异，一个被评为"严重"级别，另一个为"重要"级别。

较严重的CVE-2025-54910是一个"严重"级别的基于堆的缓冲区溢出漏洞。这类被归类为CWE-122的漏洞可使未经授权的攻击者在目标机器上本地执行任意代码。该漏洞特别危险之处在于，Microsoft Office的预览窗格（Preview Pane）可成为攻击媒介。

这意味着攻击者只需诱使用户在资源管理器窗口中接收并查看恶意文件，无需其他交互即可触发漏洞利用。虽然攻击是在本地执行的，但漏洞标题中的"远程"指的是攻击者的位置，强调其无需事先获得受害者机器的访问权限。

第二个漏洞CVE-2025-54906被评为"重要"级别，源于一个释放后重用（Use-After-Free）问题，归类为CWE-416。该漏洞同样允许远程代码执行，但其利用方式与基于堆的溢出有显著不同。攻击者需要精心制作恶意文件并通过社会工程手段诱使用户打开它。

与前一个漏洞不同，预览窗格不是CVE-2025-54906的攻击媒介，这意味着用户必须主动与恶意内容交互。这种用户交互要求是该漏洞相比预览窗格漏洞严重等级较低的关键原因。

微软已发布安全更新修复大多数受影响软件的漏洞。该公司建议客户为系统安装的所有软件应用所有可用更新，以确保全面防护。需要注意的是，Microsoft Office LTSC for Mac 2021和2024版本的安全更新尚未立即发布，但将很快推出。

微软将在这些更新准备就绪后通过修订CVE信息通知客户。鉴于远程代码执行漏洞的严重性，强烈建议用户尽快安装补丁以降低潜在利用风险。

参考来源：

Critical Microsoft Office Vulnerabilities Let Attackers Execute Malicious Code

来源：FreeBuf