微软 Office 严重漏洞可导致远程代码执行攻击

2026 年 3 月 10 日，微软发布了安全更新，以解决其广泛使用的 Office 套件中的一个严重漏洞。

该安全漏洞编号为 CVE-2026-26110 ，允许未经授权的攻击者在受害者的设备上执行恶意代码。

该漏洞严重性评级高，CVSS 基本得分为 8.4 分（满分 10 分），会影响 Windows、Mac 和 Android 平台上的各种 Microsoft Office 应用程序。

CVE-2026-26110 的核心问题在于一种名为“类型混淆”（CWE-843）的漏洞。当软件分配或初始化特定类型的资源（例如指针、对象或变量）时，如果随后尝试使用另一种不兼容的类型访问该资源，就会发生这种情况。

由于资源不具备预期的属性，因此会导致逻辑错误和越界内存访问 。

攻击者可以利用类型处理不当来绕过预期的软件限制，访问非预期的内存区域，并在目标系统上执行未经授权的命令。

微软 Office 漏洞可导致远程代码执行攻击

虽然该缺陷被标记为“远程代码执行”（RCE）漏洞，但实际的攻击途径是本地的。

正如微软的安全公告所解释的那样，“远程”一词指的是攻击者的位置，而不是代码的部署方式。

要成功利用此漏洞，恶意代码必须在本地计算机上执行。

这意味着攻击者或毫无戒心的受害者需要在本地触发有效载荷，这种技术通常被称为任意代码执行 (ACE)。

CVE-2026-26110 最令人担忧的方面之一是其攻击复杂度低，而且它完全不需要任何提升的权限或用户交互即可实施。

值得注意的是， Windows 预览窗格已被证实是一个攻击途径。这意味着受害者甚至无需双击恶意文档就会受到攻击。

只需选中文件并在预览窗格中查看，就足以触发漏洞利用，使攻击者能够控制本地系统。

幸运的是， 微软报告称，尚未发现针对此漏洞的利用代码 ，也没有已知的在实际环境中被积极利用的案例。

一位匿名研究人员负责任地披露了该漏洞，微软认为未来被利用的可能性“较小”，这给了防御者一个应用更新的关键窗口期。

然而，受影响的软件范围非常广泛，与其他 “周二补丁日”重大漏洞的规模相当。受影响的产品包括：

Microsoft Office 2016 and 2019 (both 32-bit and 64-bit editions)
Microsoft 365 Apps for Enterprise (both 32-bit and 64-bit editions)
Microsoft Office LTSC 2021 and 2024 (Windows and Mac editions)
Microsoft Office for Android

微软已针对所有受影响的产品发布了官方修复程序。强烈建议网络安全专业人员和 IT 管理员立即采取行动，保护其环境安全：

应用官方更新：立即下载并安装 2026 年 3 月 10 日的安全补丁，以更新网络中所有 Windows 和 Mac 版 Office 的安装。
更新移动应用：确保移动用户直接从 Google Play 商店更新 Microsoft Office for Android 应用 。
禁用预览窗格：如果无法立即进行修补，请考虑禁用 Windows 中的文件资源管理器预览窗格，作为一项临时防御措施，以消除最容易受到攻击的途径。