Microsoft выпустила экстренный патч для устранения уязвимости нулевого дня в Office

Microsoft экстренно выпустила внеплановые обновления безопасности, чтобы устранить серьёзную уязвимость нулевого дня в Microsoft Office. Её использовали в реальных кибератаках.

Уязвимость отслеживается как CVE-2026-21509 и затрагивает несколько версий Office, включая Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 и Microsoft 365 Apps for Enterprise.

Она позволяет обходить меры защиты от уязвимостей OLE в Microsoft 365 и Microsoft Office, предназначенные для защиты пользователей от уязвимых элементов управления COM/OLE.

Так, неавторизованные локальные злоумышленники могут успешно использовать эту уязвимость с помощью простых атак, требующих взаимодействия с пользователем, хотя сам их вектор обходит панель предварительного просмотра. Для реализации необходимо отправить юзеру вредоносный файл Office и убедить его открыть. В итоге «использование ненадёжных данных при принятии решений по безопасности в Office позволяет неавторизованному злоумышленнику обойти локальную функцию безопасности». 

Microsoft выпустила исправления для всех затронутых версий Office. Тем, кто не может оперативно обновить свои установки Office, доступны соответствующие меры по смягчению последствий, которые могут «снизить серьёзность эксплуатации уязвимости».

Уязвимость обнаружили сами исследователи безопасности Microsoft, но компания пока не предоставила никакой информации о реальных кейсах. Вероятно, её использовали для целенаправленного шпионажа.

Ранее Microsoft заявила, что будет выплачивать вознаграждения исследователям безопасности за обнаружение критических уязвимостей в любых своих онлайн-сервисах, независимо от того, был ли код написан самой компанией или третьей стороной.