關(guān)鍵詞

outlook

微軟郵件客戶端 Outlook 曝出重大安全漏洞，編號為 CVE-2025-47176，公布于 2025 年 6 月 10 日，CVSS 評分為 7.8，危害級別“重要”。該漏洞允許攻擊者在目標系統(tǒng)上遠程執(zhí)行任意代碼，盡管從技術(shù)上看它屬于“本地漏洞”，但一旦被觸發(fā)就不再需要用戶任何操作，影響極為嚴重。

漏洞的本質(zhì)是路徑遍歷問題，攻擊者可利用…/…//等目錄穿越序列繞過路徑限制，在已認證用戶權(quán)限下執(zhí)行本地惡意代碼。由于無需管理員權(quán)限即可觸發(fā)，這顯著擴大了攻擊面。微軟指出，雖然攻擊手段基于本地操作，但“遠程代碼執(zhí)行”描述的是攻擊者位置遠程，而非執(zhí)行過程，因此仍視為 RCE（遠程代碼執(zhí)行）漏洞。

此次漏洞影響了 Microsoft Outlook 的三個核心安全屬性：保密性、完整性與可用性，三者在 CVSS 評估中均被標為“高”。成功利用該漏洞的攻擊者可訪問敏感數(shù)據(jù)、修改系統(tǒng)配置，甚至使設(shè)備癱瘓。

該漏洞由 Morphisec 安全研究人員 Shmuel Uzan、Michael Gorelik 與 Arnold Osipov 聯(lián)合發(fā)現(xiàn)并通過協(xié)調(diào)披露流程上報微軟。攻擊機制依賴于目錄遍歷技術(shù)，這是攻擊者實現(xiàn)任意代碼執(zhí)行的常用手段。

值得注意的是，微軟已確認此次漏洞不涉及“預覽窗格”，因此無法通過 Outlook 的郵件預覽功能進行被動觸發(fā)。不過，漏洞的交互需求為“無用戶交互”，意味著一旦達到初始條件，用戶無需任何進一步動作，攻擊即可完成。

目前，微軟尚未發(fā)布 Microsoft 365 對應版本的安全更新，僅表示補丁將“盡快”推出，并承諾屆時會更新 CVE 頁面告知用戶。由于尚無修復補丁，微軟建議組織采取臨時防護措施：

• 嚴密監(jiān)控 Outlook 應用行為；

• 加強訪問控制策略；

• 為未來補丁的快速部署做好準備。

雖然目前暫無活躍利用的跡象，但鑒于其權(quán)限要求低、影響范圍廣，CVE-2025-47176 被認為是所有使用 Microsoft Outlook 的企業(yè)和機構(gòu)必須立刻關(guān)注的重要安全問題。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！