Microsoft remediază un zero-day din Office
Sursă: https://www.bleepingcomputer.com
Microsoft a lansat actualizări de securitate urgente de tip out-of-band pentru a remedia o vulnerabilitate zero-day cu grad de severitate high din Microsoft Office, exploatată în atacuri.
Vulnerabilitatea de ocolire a funcției de securitate, identificată ca CVE-2026-21509, afectează mai multe versiuni de Office, inclusiv Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 și Microsoft 365 Apps for Enterprise (serviciul de abonament bazat pe cloud al companiei).
Cu toate acestea, așa cum se menționează în aviz, actualizările de securitate pentru Microsoft Office 2016 și 2019 nu sunt încă disponibile și vor fi lansate cât mai curând posibil.
Deși panoul de previzualizare nu este un vector de atac, atacatorii locali neautentificați pot exploata cu succes vulnerabilitatea prin atacuri de complexitate redusă care necesită interacțiunea utilizatorului.
La începutul acestei luni, ca parte a Patch Tuesday din ianuarie 2026, Microsoft a emis actualizări de securitate pentru 114 vulnerabilități, inclusiv una exploatată activ și două zero-day dezvăluite public.
Celălalt zero-day exploatat activ și remediat în această lună este o eroare de divulgare a informațiilor în Desktop Window Manager, etichetat de Microsoft ca având un grad de severitate important, ce poate permite atacatorilor să citească adresele de memorie asociate cu portul ALPC la distanță.
Săptămâna trecută, Microsoft a lansat, de asemenea, mai multe actualizări Windows de tip out-of-band pentru a remedia erorile de oprire și Cloud PC declanșate de actualizările Patch Tuesday din ianuarie, precum și un alt set de actualizări de urgență pentru a remedia o problemă care provoca înghețarea sau blocarea clientului de e-mail clasic Outlook.
Sursă: https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-actively-exploited-office-zero-day-vulnerability/
