Microsoft выпустила срочный патч для устранения уязвимости в Office

Корпорация Microsoft оперативно выпустила внеплановое обновление безопасности для устранения серьёзной уязвимости нулевого дня в Microsoft Office. Уязвимость с идентификатором CVE-2026-21509 затрагивает ряд продуктов компании, включая Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024, а также Microsoft 365 Apps for Enterprise.

Проблема связана с ошибкой в механизмах защиты элементов управления COM/OLE, которые применяются в Office для предотвращения эксплуатации уязвимых компонентов. Благодаря ней злоумышленники могут обойти локальные меры безопасности Office, используя простой вектор атаки: отправку пользователю специально скомпонованного вредоносного файла Office и убеждение открыть его. Особенность уязвимости в том, что она позволяет обойти панель предварительного просмотра, что повышает вероятность успешного заражения без дополнительных действий жертвы.

Microsoft сообщает, что данный вектор атаки был использован в реальных кибератаках, однако подробной информации о конкретных случаях пока не предоставлено. Например, эксперты предполагают, что уязвимость могла применяться для целенаправленного шпионажа.

Компания уже выпустила исправления для всех пострадавших версий Office и рекомендует всем пользователям как можно скорее обновиться. Для тех, кто не может немедленно установить обновления, Microsoft предложила ряд временных мер по снижению рисков эксплуатации уязвимости.

Отметим, что уязвимость была обнаружена собственными специалистами по безопасности Microsoft. Это событие совпадает с инициативой Microsoft по поощрению исследователей безопасности через программу вознаграждений (bug bounty) за выявление критических уязвимостей в онлайн-сервисах компании, независимо от происхождения кода.

Таким образом, Microsoft демонстрирует свою готовность максимально оперативно реагировать на угрозы и защищать пользователей своих продуктов от возможных атак.