美国网络安全与基础设施安全局（CISA）本周二（4月14日）将两个安全漏洞列入已知被利用漏洞清单（Known Exploited Vulnerabilities，KEV），要求美国联邦机构在两周内完成修补。其中一个漏洞是微软当天刚刚修复的SharePoint Server漏洞CVE-2026-32201，另一个则是出现在17年前、微软于2009年修复的Excel漏洞CVE-2009-0238。

由CISA维护的KEV清单收录了具有高风险且已被黑客实际利用的安全漏洞，并要求美国联邦机构在规定期限内完成修补，期限从数天到数周不等。该清单被视为优先修补指南，CISA也建议企业参照执行。

根据微软当年的公告，CVE-2009-0238是一个存在于Microsoft Office Excel中的内存损坏漏洞。当用户打开包含异常对象的特制Excel文件时，攻击者可利用该漏洞远程执行任意代码，从而完全控制用户的计算机，包括安装程序、查看、修改或删除数据，甚至创建具有完全权限的新账户。

该漏洞的CVSS风险评分高达9.3，只需用户打开一个特制的Excel文件即可触发，导致应用程序访问内存中的无效对象，引发内存损坏，使攻击者能够以当前用户权限在受影响的计算机上执行任意代码。

该漏洞影响多个Office版本，包括Microsoft Office 2000 SP3、Microsoft Office XP SP3、Microsoft Office 2003 SP3、Microsoft Office 2007 SP1中的Excel，以及Excel Viewer 2003（含SP3）、Microsoft Office Compatibility Pack 2007 SP1，同时还波及Microsoft Office 2004 for Mac和Microsoft Office 2008 for Mac中的Excel组件，而这些版本大多已停止支持。

新的KEV清单表明，部分系统至今仍在使用受影响的旧版Office，因此黑客得以利用17年前的漏洞发起攻击。CISA并未透露有关CVE-2009-0238被利用的具体细节。