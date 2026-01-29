微軟近日發布緊急安全更新，修補一項高風險的Microsoft Office漏洞，建議用戶更新使用版本。（下載自freepik）

〔記者邱巧貞／台北報導〕微軟近日發布緊急安全更新，修補一項高風險的Microsoft Office漏洞，該漏洞目前正以「零日漏洞」（Zero-day）的形式遭到利用，恐使攻擊者得以存取使用者檔案，對企業與個人用戶構成重大資安威脅。

根據美國國家漏洞資料庫（NVD, National Vulnerability Database）的說法，這起漏洞屬於「安全功能繞過」缺陷。NVD指出，Microsoft Office在進行安全判斷時，依賴了不可信的輸入來源，導致未經授權的攻擊者能在本地端繞過既有的安全防護機制。

換言之，Office會根據本不應完全信任的資訊做出安全決策，網路犯罪分子正是利用這一弱點，植入惡意程式、竊取登入憑證，甚至在企業網路環境中進行橫向移動，擴大攻擊範圍。

根據《TechRadar》、《BleepingComputer》等外媒指出，該漏洞已在實際攻擊行動中被利用，網路安全暨基礎設施安全局（CISA）也已將其列入「已知被利用漏洞」清單。不過，微軟目前尚未公開說明威脅行為者的身分或具體受害對象，也無法確認攻擊行動的規模，是否已導致重大資料外洩或勒索軟體事件。

該漏洞的追蹤編號為CVE-2026-21509，微軟在安全性公告中表示，此次更新「修補了Microsoft 365與Microsoft Office中可繞過OLE緩解措施的漏洞，這些緩解機制原本用於保護使用者免受存在風險的COM/OLE 控制項攻擊。」

使用者該如何因應？微軟指出，不同版本的Office用戶需採取的行動略有差異。對於Office 2021及更新版本（包括Microsoft 365）的使用者，通常無需進行手動更新，該修補已透過伺服器端部署，只要重新啟動Office應用程式，即可套用最新防護；至於Office 2016與Office 2019用戶，則必須手動安裝指定版本的安全更新。

若用戶因環境限制，暫時無法立即安裝，微軟也建議透過修改Windows登錄檔（Registry）作為暫時性的緩解措施，並已在官方文件中提供詳細的操作指引。（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509#main-content）

