Реклама

RawLaunch

Платформа для быстрого запуска MVP и пет-проектов.

Microsoft закрыла активно эксплуатируемую уязвимость нулевого дня в Office

Владимир ИТ

27.01.2026

207 1 мин
#vulnerability #microsoft

Microsoft выпустила внеплановое обновление безопасности, исправляющее серьёзную уязвимость в Microsoft Office, которая уже используется злоумышленниками в реальных атаках.

В чём опасность уязвимости

Проблема получила идентификатор CVE-2026-21509 и оценку серьёзности CVSS 7,8 из 10. Это уязвимость обхода функций безопасности в Office, которая позволяет злоумышленнику с локальным доступом обойти встроенные механизмы защиты.

Для успешной эксплуатации атакующий должен отправить пользователю специально оформленный документ Office и убедить его открыть его. Причём для атаки не требуется использование панели предварительного просмотра т.к. уязвимость активируется при обычном открытии файла.

Что сделала Microsoft

Microsoft выпустила исправления вне регулярного цикла обновлений («out-of-band patch») для различных версий Office. Обновление автоматически установится на более современные версии Office (Office 2021 и новее) через сервис-обновление, но для Office 2016 и 2019 пользователям потребуется вручную установить соответствующие пакеты обновлений.

Вот список обновлений, которые необходимо установить для затронутых версий Office 2016 и 2019:

  • Microsoft Office 2019 (32-бит) — версия 16.0.10417.20095

  • Microsoft Office 2019 (64-бит) — версия 16.0.10417.20095

  • Microsoft Office 2016 (32-бит) — версия 16.0.5539.1001

  • Microsoft Office 2016 (64-бит) — версия 16.0.5539.1001

Обновление требует перезапуска приложений Office, чтобы изменения вступили в силу.

Как временно снизить риск

Microsoft также поделилась обходным решением, через изменение реестра Windows. Этот способ может помочь уменьшить риск атаки до установки официального патча, но работать с реестром следует аккуратно: неправильные правки могут повредить систему.

Реакция служб безопасности

Американское агентство по кибербезопасности CISA включило эту уязвимость в свой список известных активно эксплуатируемых проблем (Known Exploited Vulnerabilities, KEV). Федеральные агентства должны установить обновление до 16 февраля 2026 года, чтобы соответствовать требованиям безопасности.

Источник: The Hacker News

0

Комментарии (0)

Войдите, чтобы оставить комментарий

Похожие статьи

Кибербезопасность 4 дня назад

Критическая уязвимость Apache HTTP/2 (CVE-2026-23918)

В Apache HTTP Server обнаружена критическая уязвимость в реализации HTTP/2, позволяющая вызвать DoS и потенциально выполнить произвольный код. Ошибка связана с двойным освобождением памяти в mod_http2.

Владимир ИТ
30 0 1 мин
#apache
Кибербезопасность 2 месяца назад

Уязвимости Claude Code: RCE и кража API-ключей

Недавно обнаруженные критические уязвимости в инструменте Claude Code, которые могли допустить удалённое выполнение команд и кражу API-ключей через открытие вредоносных репозиториев. Описаны категории проблем, способы их эксплуатации и исправления.

Владимир ИТ
126 0 1 мин
#claude
Кибербезопасность 1 месяц назад

AitM-фишинг нацелен на аккаунты TikTok Business

Фишинговая кампания использует AitM-технику для захвата аккаунтов TikTok Business, обходя защиту и MFA. Атаки нацелены на рекламные аккаунты компаний и позволяют злоумышленникам использовать их в мошеннических схемах.

Владимир ИТ
73 0 1 мин