攻击者利用Outlook和Word漏洞运行恶意代码

微软披露了一组影响Outlook和Word的关键远程代码执行（RCE）漏洞，这些漏洞可能允许攻击者在目标系统上执行任意代码。这些漏洞为CVE-2026-45456、CVE-2026-45458和CVE-2026-47635，于2026年6月9日发布，严重程度高，CVSS评分为8.4。

安全研究人员警告称，这些漏洞可能被用作钓鱼攻击和恶意文档攻击，对高度依赖Microsoft Office应用的企业环境构成重大风险。

这些漏洞影响了 Microsoft Outlook 和 Word 处理内存和对象处理的方式，使攻击者能够设计出触发不安全条件的文件或输入。

成功的利用可能使攻击者完全控制受影响系统，安装恶意软件、泄露敏感数据或在企业网络中转移。值得注意的是，这三个漏洞都无需用户权限，攻击复杂度低，增加了现实世界中被利用的可能性。

CVE-2026-45456 – 类型混淆漏洞

CVE-2026-45456 是一个类型混淆漏洞（CWE-843），当应用程序使用不兼容的数据类型访问资源时就会出现。当Outlook或Word在处理过程中错误解释对象类型时，这个问题可能导致内存损坏。

攻击者可以通过发送专门制作的文档或邮件内容来利用该漏洞，从而触发错误的内存处理，最终允许任意代码执行。

尽管被归类为本地攻击向量，但由于缺乏必要的权限和用户交互，在链式攻击场景中尤为危险。

CVE-2026-45458 – 释放后使用漏洞

CVE-2026-45458 是一个影响 Outlook 和 Word 内存管理的“释放后使用”漏洞（CWE-416）。当应用程序在内存被释放后仍继续使用内存，导致不可预测的行为和潜在的代码执行时，就会出现该缺陷。

攻击者可以通过编写恶意文档来操控内存分配和释放序列。一旦触发，攻击者可能会在当前用户的上下文中执行代码，使其成为针对性攻击初期攻破的重要切入点。

CVE-2026-47635 – 基于堆的缓冲区溢出

CVE-2026-47635涉及基于堆的缓冲区溢出（CWE-122），其中超出内存分配边界写入的数据可能会破坏相邻的内存结构。

该漏洞可能被专门制作的文件利用，导致Outlook或Word处理过量数据。成功的利用使攻击者能够覆盖关键内存区域，导致任意代码执行。

堆积溢流尤其危险，因为它们在与现代技术如堆喷涂结合时极易被利用。

这三个漏洞都具有相似的特性，包括攻击复杂度低、无需权限或用户交互，凸显其潜在影响。

这些漏洞的性质使其成为威胁组织的诱人目标，尤其是在利用恶意Office文档进行鱼叉式钓鱼活动时。

强烈建议各组织立即应用Microsoft的最新安全更新。其他缓解措施包括关闭Outlook预览窗格、实施高级邮件过滤以及监控可疑文档活动。

新闻链接：

https://gbhackers.com/attackers-can-exploit-microsoft-outlook-and-word-flaws/