Windows 漏洞允许恶意代码通过电子邮件进入

近日，微软在其一月的“周二补丁日”中发布了一系列安全更新，其中一项尤为引人注目——一个可能影响数百万Windows用户的严重漏洞被修复。该漏洞编号为CVE-2025-21298，存在于Windows OLE（对象链接和嵌入）功能中，被分类为高危漏洞，CVSS评分为9.8。

据微软官方介绍，攻击者只需向目标用户发送一封特制的电子邮件，即可利用此漏洞。更为严重的是，用户无需主动打开邮件，仅仅在Outlook中预览邮件内容就足以触发攻击，使得恶意代码得以引入并执行。微软指出，该漏洞的攻击复杂性较低，且攻击者无需事先获得对目标系统的任何访问权限。

尽管微软尚未发现任何利用CVE-2025-21298漏洞的主动攻击案例，但该公司警告称，未来可能会发生此类攻击。因此，建议所有使用Outlook的Windows用户尽快安装最新的安全补丁，以保护自己的系统免受潜在威胁。

据零日计划（ZDI）透露，CVE-2025-21298漏洞源于RTF文件分析中的缺陷，缺乏适当的数据验证。如果攻击者发送了经过精心准备的电子邮件，可能会触发内存损坏错误，从而导致恶意代码的执行。

值得注意的是，不仅所有版本的Windows 10和Windows 11受此漏洞影响，Windows Server的多个版本（包括2008 R2、2012、2016、2019、2022和2025）也同样存在风险。微软已在周二发布了针对所有这些系统的补丁，用户应尽快安装。

作为临时解决方案，微软建议将Outlook中的电子邮件显示切换为纯文本格式，以降低遭受攻击的风险。然而，这种方法可能会限制邮件内容的显示效果。

此外，微软在周二还修复了其他产品中的约160个安全漏洞，涉及Office应用程序、Hyper-V、Visual Studio、Azure和Bitlocker等。据ZDI报告称，这是自2017年以来微软在一个月内修复漏洞数量最多的一次，创下了新纪录。

用户应持续关注微软发布的安全更新，并及时安装补丁，以确保自己的系统安全。同时，保持警惕，避免打开来自未知来源的邮件和附件，以降低遭受网络攻击的风险。