Microsoft opravil aktívne zneužívanú zero-day zraniteľnosť v balíku Office

Spoločnosť Microsoft vydala mimoriadne bezpečnostné aktualizácie kancelárskeho balíka Microsoft Office, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. CVE-2026-21509 možno zneužiť podvrhnutím špeciálne vytvorených súborov na obídenie bezpečnostných mechanizmov pre ochranu pred zneužitím niektorých funkcií COM/OLE a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft Office LTSC 2021
• Microsoft Office LTSC 2024
• Microsoft 365 Apps for Enterprise

Opis zraniteľnosti:

CVE-2026-21509  (CVSSv3 skóre 7,8)

Vysoko závažná zero-day zraniteľnosť s identifikátorom CVE-2026-21509 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov pre ochranu pred zneužitím zraniteľných funkcií COM/OLE. Neautorizovaný útočník by ju mohol zneužiť lokálne na obídenie bezpečnostných mechanizmov. Potrebuje na to zaslať obeti špeciálne vytvorený súbor MS Office a presvedčiť ju, aby ho otvorila.

Americká CISA pridala zraniteľnosť na svoj zoznam aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities).

Možné škody:

• Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia zraniteľných verzií MS Office 2016 aspoň na verziu 16.0.5539.1001 a MS Office 2019 aspoň na verziu 16.0.10417.20095.

Zraniteľnosť je možné mitigovať aj podľa odporúčaní výrobcu spočívajúcich v úprave registrov Windows.

Zdroje:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509
• https://nvd.nist.gov/vuln/detail/CVE-2026-21509
• https://www.cisa.gov/news-events/alerts/2026/01/26/cisa-adds-five-known-exploited-vulnerabilities-catalog
• https://thehackernews.com/2026/01/microsoft-issues-emergency-patch-for.html