Microsoft выпустила срочный патч для критической уязвимости в Office

Если вы используете пакет Microsoft Office дома или на работе, немедленно проверьте наличие обновлений.

Microsoft выпустила внеочередное обновление безопасности для устранения критической уязвимости нулевого дня, обозначенной как CVE-2026-21509. Компания из Редмонда подтвердила, что эта ошибка уже активно используется киберпреступниками.

Уязвимость затрагивает широкий спектр версий, от Office 2016 до версий 2019 и 2021, а также новейший LTSC 2024 и Microsoft 365 Apps. Брешь позволяет злоумышленникам обойти защиту OLE (Object Linking and Embedding). На практике это означает, что хакеры могут подготовить специально сформированный файл (например, документ Word или таблицу Excel), открытие которого ничего не подозревающей жертвой запускает вредоносный код с локальными привилегиями, потенциально давая злоумышленнику контроль над системой.

Важно отметить, что для атаки требуется взаимодействие с пользователем — необходимо открыть файл, присланный, например, в фишинговом письме. Microsoft успокаивает, что предварительный просмотр документа в области предварительного просмотра Outlook безопасен, но это слабое утешение на фоне методов социальной инженерии, используемых мошенниками. Для более новых версий (Office 2021 и новее) защита развертывается автоматически после перезапуска приложения, но старые редакции (2016/2019) могут потребовать ручной установки патча или редактирования системного реестра.

Выпуск обновления во внеочередном порядке говорит о масштабе угрозы. В мире кибербезопасности «zero-day» означает, что разработчики программного обеспечения не знали об ошибке до её первого использования, что даёт атакующим преимущество. Теперь началась гонка со временем — кто первым обновит систему, тот избежит заражения.

ИИ: В 2026 году подобные уязвимости остаются серьёзной угрозой, особенно для корпоративного сектора. Важно не только своевременно устанавливать обновления, но и повышать осведомлённость пользователей о фишинге.