微軟Office爆CVSS平均8.4分資安漏洞 跨平台版本皆有重大風險

記者孫敬／編譯

微軟Office軟體近日驚傳存在多個「極度嚴重」的資安漏洞，編號包括CVE-2025-47162、CVE-2025-47953、CVE-2025-47164和CVE-2025-47167。這些漏洞的CVSS評分均高達8.4分（滿分10分），涵蓋Windows、Mac乃至Android等多個平台上的Office版本，駭客一旦成功利用，恐在系統上執行任意惡意程式碼，對使用者造成重大威脅。

延伸閱讀：OpenAI資安報告：俄羅斯、中國駭客已深入利用ChatGPT開發惡意軟體

漏洞細節解析：預覽文件即可能觸發，涵蓋多種記憶體缺陷

據外媒報導，這些資安漏洞是由資安研究員0x140ce所揭露，主要源於Office在核心記憶體管理上的記憶體管理弱點，包括堆疊緩衝區溢位（heap-based buffer overflow）、釋放後使用（Use After Free）以及類型混淆（Type confusion）錯誤等。

此次批露的四大漏洞皆具備高危險性，且攻擊門檻相對較低：

• CVE-2025-47162（堆疊緩衝區溢位）： 這個漏洞源自於Office在處理文件時，記憶體分配缺乏適當的邊界檢查。駭客可製作惡意文件，當Office處理這些資料量較大的文件時，便會觸發緩衝區溢位。更危險的是，使用者即便只是在「預覽窗格」檢視這類文件，無需任何互動，都可能觸發此漏洞，讓攻擊者取得與登入使用者相同的權限，進而執行任意程式碼。
• CVE-2025-47953（釋放後使用）： 此漏洞因文件和資源名稱驗證不當所致，導致Office在釋放記憶體後，仍嘗試存取該區域，駭客可藉機注入惡意程式碼。該漏洞同樣獲得8.4的高分。
• CVE-2025-47164（記憶體管理的釋放後使用）： 此漏洞被歸類為「更可能被利用」，因Office在釋放記憶體後未能使指標失效，駭客可重新分配該記憶體，並植入惡意資料，從而實現程式碼執行。自Office 2016以來的所有版本都受此影響。
• CVE-2025-47167（資料處理中的類型混淆）： Office在處理資料類型時發生錯誤，將一種資源誤認為不相容的類型。駭客可製作畸形物件的文件，利用類型混淆來破壞記憶體，進而執行程式碼。

雖然這些漏洞的攻擊向量被分類為「本地」（AV:L），意即需要惡意文件被下載或預覽，但由於「無需使用者互動」（UI:N）的特性，實際上仍可被用於遠端程式碼執行，大大增加了潛在的威脅範圍。

微軟緊急釋出更新：跨平台修補行動展開，使用者應立即防堵

目前，微軟已於2025年6月10日緊急發布安全更新，涵蓋了幾乎所有主流Office版本，包括Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024、Microsoft 365 Apps for Enterprise以及Office for Android等，並提供32位元和64位元版本。這些更新將透過不同的版本機制傳遞，例如企業版的一點即用和獨立安裝的傳統安全檔。

值得注意的是，針對Microsoft 365的雲端更新未同步釋出，微軟表示將盡快發布更新，並會透過漏洞與暴露（CVE）清單來通知客戶。

資料來源：Cyber Security News

瀏覽 844 次