微软已发布针对 Microsoft Office 中两个重大漏洞的补丁，这些漏洞可能允许攻击者在受影响的系统上执行恶意代码。

这些漏洞被标记为CVE-2025-54910和CVE-2025-54906，于 2025 年 9 月 9 日披露，影响到该流行生产力套件的各个版本。

虽然微软目前认为这两个漏洞被利用的可能性“较小”，但它们可能导致远程代码执行，值得用户和管理员立即关注。

这些漏洞的利用方法和严重程度各不相同，其中一个漏洞被评为“严重”，另一个漏洞被评为“重要”。

严重的 Microsoft Office 漏洞

两个漏洞中较为严重的一个是CVE-2025-54910，它是一个严重等级的基于堆的缓冲区溢出漏洞。

这种漏洞被编号为 CWE-122，允许未经授权的攻击者在目标机器上本地执行任意代码。该漏洞的一个特别危险之处在于，Microsoft Office 中的预览窗格可以充当攻击媒介。

这意味着攻击者可能无需用户进行任何交互即可触发漏洞，除了用户在资源管理器窗口中接收和查看恶意文件之外。

尽管攻击是在本地执行的，但漏洞标题中的“远程”一词指的是攻击者的位置，强调他们不需要事先访问受害者的机器。

第二个漏洞CVE-2025-54906被评为重要漏洞，源于释放后使用情况，被追踪为 CWE-416。

此漏洞同样允许远程代码执行，但其利用向量与基于堆的溢出漏洞截然不同。要利用此漏洞，攻击者必须精心设计一个恶意文件，并通过社交工程手段诱导用户打开该文件。

与其他缺陷不同，预览窗格不是 CVE-2025-54906 的攻击媒介，这意味着用户必须主动接触恶意内容。

与预览窗格漏洞相比，这种对用户交互的要求是其严重性评级较低的主要原因。

缓解措施

微软已针对大多数受影响软件发布了安全更新，以修复这些漏洞。公司建议用户安装系统中已安装软件的所有更新，以确保获得全面保护。

需要注意的是，Microsoft Office LTSC for Mac 2021 和 2024 的安全更新尚未立即提供，但将很快发布。

这些更新准备就绪后，微软将通过修订 CVE 信息通知客户。鉴于远程代码执行漏洞的严重性，强烈建议用户尽快安装补丁，以降低潜在漏洞利用的风险。