Microsoftは、Microsoft Officeで悪用が確認されているゼロデイ脆弱性を修正するため、定例外(out-of-band)のセキュリティ更新プログラムを公開しました。該当する脆弱性はCVE-2026-21509として追跡されており、CVSS v3.1の基本スコアは10点満点中7.8です。この脆弱性は、Microsoft Officeにおけるセキュリティ判断で信頼できない入力に依存していることに起因し、未承認の攻撃者がローカルでセキュリティ機能を回避できる可能性があります。
この脆弱性を悪用するには、ユーザーの操作が必要です。攻撃者は、細工したMicrosoft Officeファイルを送信し、ソーシャルエンジニアリング手法を用いてユーザーをだましてそのファイルを開かせる必要があります(例:メール経由)。このセキュリティ回避の脆弱性は、Office 2021以降やMicrosoft 365 Apps for Enterpriseを含む複数のMicrosoft Officeバージョンに影響します。影響を受けるOfficeバージョンの一部はサーバー側の変更により自動的に保護されますが、保護を有効にするにはOfficeアプリケーションの再起動が必要です。
更新プログラムの適用が必要な影響を受けるOfficeバージョンは、インストールすべき更新バージョンとともに以下に示します。
| 影響を受けるMicrosoft Officeのバージョン | 更新バージョン |
| Microsoft Office 2019(32ビット版) | 16.0.10417.20095 |
| Microsoft Office 2019(64ビット版) | 16.0.10417.20095 |
| Microsoft Office 2016(32ビット版) | 16.0.5539.1001 |
| Microsoft Office 2016(64ビット版) | 16.0.5539.1001 |
更新プログラムを直ちにインストールできない場合、Microsoftは悪用リスクを低減するための緩和策を推奨しています。緩和策は次のとおりです。
- すべてのOfficeアプリケーションを閉じる
- Windowsレジストリのバックアップを作成する – レジストリのバックアップ作成は重要です。Windowsレジストリを誤って変更すると深刻な問題を引き起こす可能性があります。
- レジストリエディターを開く(スタートメニュー > regeditと入力 > Enterキーを押す)
- 適切なレジストリキーを見つけ、Microsoftのセキュリティアドバイザリに従ってサブキーを追加する
- 実施すべき手順について、より分かりやすい説明がBleeping Computerにより公開されています
- レジストリエディターを終了し、Officeアプリケーションを起動する
Microsoftは、この脆弱性が実環境でどの程度悪用されているかについての情報を共有していません。しかし、脆弱性を修正するために定例外の更新プログラムが公開されていることから、悪用リスクは高いと見なすべきであり、パッチまたは緩和策をできるだけ早く適用する必要があります。
