微软紧急修复 Office 高危零日漏洞，2016/2019 用户需手动启用防护

当地时间 1 月 26 日，

带外更新（Out of Band）相当于是微软给操作系统发布的热更新, 即此类更新不在原本的更新计划而是紧急发布的。

该漏洞编号为 CVE-2026-21509，属于安全功能绕过漏洞，影响了 Microsoft Office 2016、2019、LTSC 2021、LTSC 2024 以及订阅制产品 Microsoft 365 商业版。不过，微软同时表示，Office 2016 和 2019 的安全更新尚未就绪，将在完成后尽快发布。

微软指出，尽管该漏洞无法通过预览模式触发，攻击者必须向用户发送恶意文件并诱使他们将其打开。此漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 部分措施，这些部分措施可保护用户易受攻击的 COM / OLE 控件的控件。