更新時間:2026/01/28 14:31:31
發佈時間:2026/01/28 14:31:31
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Microsoft近期公告Office軟體存在安全功能繞過(Security Feature Bypass)漏洞(CVE-2026-21509),攻擊者可透過釣魚攻擊誘使受害者開啟惡意Office檔案,並利用Microsoft Office 的安全決策中信任未驗證的輸入,導致允許未經身分驗證的攻擊者在本地繞過OLE安全防護機制。
二、已揭露攻擊活動說明
1. Microsoft官方說明已被利用進行攻擊[1]。
▶ 漏洞資訊
⌵
名稱:
CVE-2026-21509
描述:
使用版本:CVSS 3.1
分析分數:7.8
參考來源: Microsoft
▶ 影響平台
⌵
影響平台-系統:
1. Microsoft Office 2016 (32-bit edition、64-bit edition)
2. Microsoft Office LTSC 2024 for 32-bit editions、64-bit editions
3. Microsoft Office LTSC 2021 for 32-bit editions、64-bit editions
4. Microsoft 365 Apps for Enterprise for 32-bit Systems、64-bit Systems
5. Microsoft Office 2019 for 32-bit editions、64-bit editions
▶ 建議措施
⌵
1.官方已發布修補程式及緩解措施,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509 | Microsoft |
情資編號:
FISAC-200-202601-0012
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞