Microsoftは、実環境で現在悪用されている重大なゼロデイ脆弱性を緩和するため、Microsoft Office向けの緊急の臨時(定例外)セキュリティ更新プログラムを公開しました。この欠陥は標準のセキュリティプロトコルの回避を可能にし、一見無害に見える文書を介して武器化され得ます。発動条件は、ファイルを開くという行為だけです。
CVE-2026-21509として指定されたこの脆弱性は、Microsoft Office 2016、2019、Office LTSC 2021、Office LTSC 2024、そしてMicrosoft 365 Apps for Enterpriseに影響します。同社によれば、Officeの最新バージョン向けの修正はすでに利用可能であり、Office 2021以降のビルドのユーザーはアプリケーションを再起動することで自動的に保護が適用されます。一方で、Office 2016および2019向けの更新は現時点で未提供で、まもなく公開される見込みです。
欠陥の技術的本質は、COMおよびOLEコンポーネントに関連する保護機構の無効化にあります。攻撃者は悪意のあるファイルを送信し、被害者にそれを開かせるだけで、ローカルでの攻撃を成立させられます。Microsoftは「プレビューウィンドウ(Preview Pane)」は有効な攻撃ベクターにならないと明確にしていますが、それでもファイルに対するユーザーの直接操作が主要なリスク要因であることに変わりはありません。
Office 2016および2019を利用しているユーザーに対して同社は、正式なパッチが完成するまでの間、悪用リスクを低減することを目的としたWindowsレジストリの変更を伴う暫定的な緩和策を提示しています。Microsoftは、この脆弱性の発見に関する具体的な詳細や、進行中の攻撃の技術的な詳細の開示を控えています。本件は、2026年1月に緊急更新が広範に増加している状況の中で発生しており、その期間中にMicrosoftは、現在悪用されている複数のゼロデイ欠陥を含む、数多くの他の脆弱性にも対処しています。
翻訳元: https://meterpreter.org/office-under-siege-microsoft-rushes-emergency-fix-for-active-zero-day/
