文章总结： 该文档介绍了微软Office高危漏洞CVE-2026-26110，其CVSS评分8.4，源于类型混淆问题，可导致远程代码执行。该漏洞攻击复杂度低且无需用户交互，Windows预览窗格即是攻击途径之一。微软已发布安全更新修复该漏洞，目前尚无公开利用。建议用户立即安装官方补丁或更新移动应用，无法及时修补时禁用预览窗格作为临时缓解措施。 综合评分： 84 文章分类： 漏洞预警,漏洞分析,应用安全

微软Office严重漏洞可导致远程代码执行攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月12日 19:07 北京

2026年3月10日，微软发布了安全更新，以解决其广泛使用的Office套件中的一个严重漏洞。

该安全漏洞编号为CVE-2026-26110，允许未经授权的攻击者在受害者的设备上执行恶意代码。

该漏洞严重性评级高，CVSS 基本得分为 8.4 分（满分 10 分），会影响Windows、Mac 和 Android 平台上的各种 Microsoft Office 应用程序。

CVE-2026-26110 的核心问题在于一种名为“类型混淆”（CWE-843）的漏洞。当软件分配或初始化特定类型的资源（例如指针、对象或变量）时，如果随后尝试使用另一种不兼容的类型访问该资源，就会发生这种情况。

由于资源不具备预期的属性，因此会导致逻辑错误和越界内存访问。

攻击者可以利用类型处理不当来绕过预期的软件限制，访问非预期的内存区域，并在目标系统上执行未经授权的命令。

微软Office漏洞可导致远程代码执行攻击

虽然该缺陷被标记为“远程代码执行”（RCE）漏洞，但实际的攻击途径是本地的。

正如微软的安全公告所解释的那样，“远程”一词指的是攻击者的位置，而不是代码的部署方式。

要成功利用此漏洞，恶意代码必须在本地计算机上执行。

这意味着攻击者或毫无戒心的受害者需要在本地触发有效载荷，这种技术通常被称为任意代码执行 (ACE)。

CVE-2026-26110 最令人担忧的方面之一是其攻击复杂度低，而且它完全不需要任何提升的权限或用户交互即可实施。

值得注意的是，Windows 预览窗格已被证实是一个攻击途径。这意味着受害者甚至无需双击恶意文档就会受到攻击。

只需选中文件并在预览窗格中查看，就足以触发漏洞利用，使攻击者能够控制本地系统。

幸运的是，微软报告称，尚未发现针对此漏洞的利用代码，也没有已知的在实际环境中被积极利用的案例。

一位匿名研究人员负责任地披露了该漏洞，微软认为未来被利用的可能性“较小”，这给了防御者一个应用更新的关键窗口期。

然而，受影响的软件范围非常广泛，与其他“周二补丁日”重大漏洞的规模相当。受影响的产品包括：

• Microsoft Office 2016 和 2019（32 位和 64 位版本）
• 适用于企业的 Microsoft 365 应用（32 位和 64 位版本）
• Microsoft Office LTSC 2021 和 2024（Windows 和 Mac 版本）
• 适用于安卓系统的 Microsoft Office

微软已针对所有受影响的产品发布了官方修复程序。强烈建议网络安全专业人员和IT管理员立即采取行动，保护其环境安全：

• 应用官方更新：立即下载并安装 2026 年 3 月 10 日的安全补丁，以更新网络中所有 Windows 和 Mac 版 Office 的安装。
• 更新移动应用：确保移动用户直接从 Google Play 商店更新Microsoft Office for Android 应用。
• 禁用预览窗格：如果无法立即进行修补，请考虑禁用 Windows 中的文件资源管理器预览窗格，作为一项临时防御措施，以消除最容易受到攻击的途径。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软Office严重漏洞可导致远程代码执行攻击》