Microsoft Office 中的多个关键漏洞可能允许攻击者在受影响的系统上执行任意代码。

这些漏洞被跟踪为CVE-2025-47162,CVE-2025-47953,CVE-2025-47164和CVE-2025-47167,所有漏洞的CVSS得分为8.4分(满分10分),并影响Windows,Mac和Android平台的众多Office版本。

安全研究员0x140ce发现了这些缺陷,这些缺陷利用了基本的内存管理弱点,包括基于堆的缓冲区溢出,无使用条件和类型混淆错误。

此漏洞(CWE-122)源于在 Office 文件解析例程中内存分配期间的不当边界检查。

攻击者可以制作包含超大数据有效载荷的恶意文档,在处理时触发基于堆的缓冲区溢出。

通过覆盖相邻的内存区域,攻击者获得了对指令指针的控制权,从而启用了与登录用户相同的权限任意执行。

CVSS 向量字符串 CVSS:3.1/AV:L/AC/AC:L/PR:N/UI:N/S:U/C:H/I/A:H:H 突出显示本地攻击向量 (AV:L) 和低攻击复杂度 (AC:L ) , 无需用户交互 (UI:N)。尽管标题中有“远程”名称,但在下载或预览恶意文件后,漏洞在本地进行利用。

只需在预览窗格中查看武器化文档即可触发溢出,而无需用户交互。恶意宏可以在文件打开时自动利用。

此漏洞(CWE-641)源于文件和资源名称的缺陷验证,导致无使用条件。

当 Office 在过早释放内存区域后尝试访问内存区域时,攻击者可以将恶意代码注入悬空指针的位置。缺陷在CVSS量表上得分为8.4,反映了CVE-2025-47162的严重程度。

特别设计的文件名会触发不适当的资源分配。微软将其评为“不太可能的开发”,因为操纵内存布局所需的精度。

该漏洞影响Windows,macOS(Office LTSC 2021/2024)和Android版本,需要统一修补。

在 CWE-416 下进行分类,此漏洞源于 Office 在释放内存后未能使指针无效。

攻击者通过将释放的内存与恶意数据重新定位,从而执行代码。

CVSS 可利用性评估将此“开发更可能”标记为可预测的内存重用模式。

自2016年以来,所有Office版本都容易受到攻击,强调需要全面修补。

当 Office 错误处理对象类型,将资源误认为不兼容类型时,会出现此漏洞(CWE-843 ) 。

攻击者制作包含畸形对象的文档,导致类型混乱,从而破坏内存并实现代码执行。

CVSS指标反映了其他缺陷,在保密性,完整性和可用性方面得分很高。开发技术包括在文档中嵌入矛盾类型元数据。

跨所有平台发布的安全更新

微软于2025年6月10日发布了安全更新,涵盖所有主要Office版本,包括Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024、Microsoft 365 Apps for Enterprise和Office for Android。

更新通过各种机制提供,包括适用于企业版本的Click-to-Run部署和用于独立安装的传统安全更新包。

值得注意的是,Microsoft 365基于云的更新没有立即可用,该公司表示更新“将尽快发布”,客户将通过CVE信息修订收到通知。

受影响的版本跨越32位和64位版本,特定更新包由构建号标识,例如Office 2016的16.0.5504.1000和Mac版本的16.98.25060824。

组织应该优先考虑立即应用这些补丁,因为严重程度等级和高可利用性评估。