Microsoft Windows 中新增的严重漏洞使黑客能够通过电子邮件传播恶意代码。只需在预览窗口中查看电子邮件就足以让恶意软件扎根。Microsoft 已为此发布了安全更新,应立即安装。
Microsoft Windows 现在正受到一个新的关键安全漏洞的威胁。这个漏洞被命名为 CVE-2025-21298,位于 Windows 对象链接和嵌入 (OLE) 功能的核心,该功能使文档和其他对象能够无缝集成到应用程序中。但此功能隐藏着一个特别的危险:粗略地浏览 Outlook 收件箱或轻率地打开电子邮件预览就足以为不速之客打开数字大门。
黑客可以利用所谓的“释放后使用”安全漏洞,“通过向目标发送特制的电子邮件”来控制受害者的计算机。如果目标使用易受攻击的 Microsoft Outlook 版本打开此电子邮件,或者他们的软件能够通过预览窗格预览电子邮件,则成功利用该漏洞将导致目标系统上远程执行代码。
这种攻击的后果可能是毁灭性的,从数据盗窃、间谍活动到勒索软件对系统进行完全加密。各种版本的 Windows 10、Windows 11 和 Windows Server 都会受到影响。该漏洞的 CVSSv3 评分为 9.8 分(满分 10 分),因此为“严重”。另一方面,Microsoft 表示,迄今为止尚未观察到任何利用该漏洞的行为。
微软已经推出了安全补丁以堵住漏洞:强烈建议用户尽快安装这些更新。在安装更新之前,建议用户以纯文本形式查看电子邮件,并在大型 LAN 网络中限制 NTLM 流量或完全禁用 NTLM。将 Microsoft Outlook 配置为以纯文本格式而不是 Rich 格式查看电子邮件可以防止显示其他类型的内容,例如照片、动画或专用字体,从而可以利用此漏洞。
