近日，监测发现Windows OLE存在远程代码执行漏洞,攻击者可以通过向目标发送一个特定电子邮件，来利用此漏洞。现将风险提示如下：

一、漏洞描述

OLE (Object Linking and Embedding)，即对象链接与嵌入，是 Microsoft Windows 操作系统中一种强大的技术，它允许不同应用程序之间共享和交互数据。简单来说，OLE 技术使得用户可以在一个文档中插入、编辑来自其他应用程序的内容，并且能够以多种方式进行互动。

CVE-2025-21298是微软Windows对象链接和嵌入（OLE）中的RCE漏洞，被微软官方评估为“更有可能利用”。攻击者可以通过向目标发送一个特定电子邮件，来利用此漏洞。当用户使用Microsoft Outlook打开电子邮件时即可触发远程代码执行漏洞。针对此漏洞，微软建议将Microsoft Outlook配置为以纯文本格式阅读电子邮件。

该漏洞有两种利用方式：

1. 构造恶意的RTF文档，通过钓鱼投递方式诱使受害者点击，此时漏洞为1-click；

2. 通过邮件发送恶意的RTF文档，用户打开Outlook客户端时，即可触发恶意RTF文档解析，从而触发漏洞，此时漏洞为0-click。

二、漏洞信息

漏洞编号：CVE-2025-21298

漏洞危害等级：高危

漏洞类型：远程代码执行

三、影响范围

所有用Outlook/Word的用户且Windows版本为Win10 20H2~22H2、Win11 21H2~23H2、Win Server 2019/2022。

四、修复建议

1.安装微软官方补丁。链接：https://msrc.microsoft.com/update-guide；

2.设置Outlook默认以纯文本显示邮件。