IT 之家 1 月 28 日消息，微软现已发布带外更新，主要修复 Office 中一项已遭黑客利用的高危零日漏洞。该漏洞编号为 CVE-2026-21509，CVSS 评分高达 7.8，攻击者可借此绕过关键安全防护，在目标系统上执行恶意代码。

微软方面表示，受影响的产品包括 Microsoft Office 2016、2019、2021 以及 Microsoft 365。其中，Office 2021 和 Microsoft 365 用户已通过服务端获得自动修复，但必须重启 Office 应用后补丁才会生效。对于 Office 2016 和 2019，用户需要手动安装更新，否则设备将处于暴露状态。

具体技术方面，这一漏洞属于底层设计缺陷，微软称 "Office 在做出安全决策时错误信任了某些不受信任的输入数据 "，因此黑客可通过构建带有恶意载荷的 Office 文档，绕过原本用于阻止不可信 COM 控件的 OLE（对象链接与嵌入）安全防护机制，一旦受害者打开恶意文件，设备便会遭远程执行恶意代码。

对于暂时无法部署补丁的组织，微软提供了临时缓解方案，即通过修改注册表禁用存在风险的 COM 对象（CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}），但这只是 " 权宜之计 "，微软提醒，对 Office 进行更新，彻底打上补丁才是唯一可靠、能够避免黑客入侵的防护方式。