微軟週一發布了針對微軟 Office 零日漏洞的高風險安全補丁，該漏洞已被攻擊者利用。此漏洞編號為CVE-2026-21509，CVSS 評分為 7.8 分（滿分為 10 分）。它被描述為 Microsoft Office 中的安全功能繞過漏洞。在 Microsoft Office 的安全決策中依賴不受信任的輸入，會導致未經授權的攻擊者繞過本地安全功能。

這次更新修復了一個漏洞，該漏洞可以繞過Microsoft 365 和 Microsoft Office 中的OLE緩解措施，而這些措施旨在保護用戶免受易受攻擊的 COM/OLE 控制項的侵害。成功利用此漏洞需要攻擊者傳送精心建構的 Office 文件，並誘使收件者開啟該文件。

Windows 廠商表示，執行 Office 2021 及更高版本的使用者將透過服務端變更自動獲得保護，但需要重新啟動 Office 應用程式才能使變更生效。對於執行 Office 2016 和 2019 的用戶，則需要安裝以下更新：

1. Microsoft Office 2019（32 位元版本）- 16.0.10417.20095
2. Microsoft Office 2019（64 位元版本）- 16.0.10417.20095
3. Microsoft Office 2016（32 位元版本）- 16.0.5539.1001
4. Microsoft Office 2016（64 位元版本）- 16.0.5539.1001

作為緩解措施，該公司敦促客戶按照以下步驟更改 Windows 註冊表 -

1. 備份登錄
2. 退出所有 Microsoft Office 應用程式
3. 啟動登錄編輯器
4. 找到正確的註冊表子項目 -

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ 適用於 32 位元 Windows 系統上的 64 位元 MSI Office 或 32 位元 MSI Office
• HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ 適用於 64 位元 Windows 上的 32 位元 MSI Office
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ 適用於 32 位元 Windows 系統上的 64 位元 Click2Run Office 或 32 位元 Click2Run Office。
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ 適用於 64 位元 Windows 上的 32 位元 Click2Run Office

5. 右鍵點選 COM 相容性節點，選擇“新增鍵”，新增一個名為 {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} 的新子鍵。

• 在該子項中，以滑鼠右鍵按一下新子項，然後選擇「新建」>「DWORD（32 位元）值」來新增值。
• 新增一個名為「Compatibility Flags」的 REG_DWORD 十六進位值，其值為 400。

6. 退出註冊表編輯器並啟動 Office 應用程式

微軟尚未透露有關利用 CVE-2026-21509 漏洞發動的攻擊的性質和範圍的任何細節。微軟表示，微軟威脅情報中心 (MSTIC)、微軟安全響應中心 (MSRC) 和 Office 產品組安全團隊發現了這個問題。

這一事態發展促使美國網路安全和基礎設施安全局 (CISA) 將該漏洞添加到其已知利用漏洞 ( KEV ) 目錄中，要求聯邦民事行政部門 (FCEB) 機構在 2026 年 2 月 16 日之前應用修補程式。