Microsoft закрыла критическую дыру в Office экстренным патчем
2 мин
57
Компания Microsoft экстренно выпустила внеплановые обновления безопасности, чтобы устранить серьёзную уязвимость нулевого дня в Office. Уязвимость уже использовали в реальных кибератаках. Брешь обнаружили исследователи кибербезопасности Microsoft. Компания пока не предоставила никакой информации о реальных кейсах. Вероятно, её использовали для целенаправленного шпионажа.
Брешь получила название CVE-2026-21509 и имеет 7,8 балла из 10 по шкале оценки уязвимостей CVSS:3.1. Она затрагивает несколько версий продуктов Microsoft: Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 и Microsoft 365 Apps for Enterprise.
Она позволяет обходить меры защиты от уязвимостей OLE в Microsoft 365 и Office.
Неавторизованные локальные злоумышленники могут успешно использовать эту уязвимость с помощью простых атак. Требуется взаимодействие с пользователем, хотя сам вектор обходит панель предварительного просмотра. Для реализации нужно отправить пользователю вредоносный файл Office и убедить его открыть. В итоге использование ненадёжных данных при принятии решений по безопасности в Office позволяет неавторизованному злоумышленнику обойти локальную функцию безопасности.
Microsoft выпустила исправления для всех затронутых версий. Для тех пользователей, кто не может оперативно обновить программы, предложены соответствующие меры по смягчению последствий. Они могут снизить серьёзность эксплуатации уязвимости.
