在安全警报中,Microsft 警告用户,黑客使用 Outlook 电子邮件客户端分发恶意软件是多么容易。微软已经发布了针对CVE-2025-21298 user-after-free漏洞的补丁,并敦促用户立即应用。
Microsoft 将该漏洞的严重性评分为 9.8(严重),因为它使用释放的内存并破坏有效数据,或远程分发恶意软件。该错误存在于 Windows 对象链接和嵌入 (OLED) 功能中,该功能允许您嵌入和链接到文档和其他对象,例如将 Excel 图表添加到 Word 文档。这是非常危险的,您可能会通过预览特制的电子邮件而被感染。
微软在安全警告中表示,“利用该漏洞可能涉及受害者使用受影响版本的 Microsoft Outlook 软件打开特制电子邮件,或者受害者的 Outlook 应用程序显示特制电子邮件的预览。这可能导致攻击者在受害者的机器上执行远程代码。”
如果您目前无法应用补丁,Microsoft 鼓励您应用一些提示,例如在大型 LAN 网络中以纯文本形式查看电子邮件以及完全关闭或限制 NTLM 流量。当您以纯文本形式查看电子邮件时会发生什么?基本上,所有动画、图像和不同的字体都被删除。以纯文本形式查看电子邮件时,它们看起来不会那么时尚,但通过这种方式,您可以避免客户流失、业务中断以及可能的监管罚款。
没有任何应用程序是完美的,您迟早会遇到问题。即使 Outlook 也存在常见问题,但如果您遇到一些基本问题,我们可以帮助您解决这些问题。这并不是 Outlook 不久前遇到的第一个黑客能够查看电子邮件的重大问题。