[TLP:CLEAR] Microsoft Office opravuje aktivně zneužívanou zranitelnost
Microsoft Office opravuje vysoce závažnou, aktivně zneužívanou zranitelnost [1][2]. Opravené verze produktu: Microsoft Office - 2021 a novější, Microsoft 365 - automatická oprava (nutný restart) - 2019 (32-bit edition) - 16.0.10417.20095 - 2019 (64-bit edition) - 16.0.10417.20095 - 2016 (32-bit edition) - 16.0.5539.1001 - 2016 (64-bit edition) - 16.0.5539.1001
Neautentizovanému lokálnímu útočníkovi je zasláním speciálně vytvořeného souboru, s využitím sociálního inženýrství umožněno obejít ochranné mechanismy zamezující zneužití objektů COM/OLE, což může potenciálně vést k úniku/modifikaci dat, útoku DoS či spuštění kódu. Podokno náhledu v Outlooku (Preview Pane) není vektorem útoku. Není-li okamžitá aktualizace možná, lze riziko dočasně mitigovat blokací zranitelného COM objektu v registrech. Podrobný postup pro různé verze instalací naleznete na [1].
Zranitelnost se nachází v produktech:
- Microsoft Office 2016 ve verzích <16.0.5539.1001
- Microsoft Office 2019 ve verzích <16.0.10417.20095
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-21509 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-807: Reliance on Untrusted Inputs in a Security Decision at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 1. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 27. 1. 2026.
