Microsoftによると、Microsoft Officeの新たな高深刻度のゼロデイ脆弱性が実際に悪用されているとのことです。
この技術大手企業は、1月26日のアドバイザリにおいて、この脆弱性に対するパッチをリリースしました。この脆弱性は、Microsoft Officeのセキュリティ判断において信頼できない入力に過度に依存しているため、権限のない攻撃者がローカルでセキュリティ機能をバイパスできるというものです。
この脆弱性により、攻撃者はMicrosoft 365およびMicrosoft Officeのオブジェクトリンクおよび埋め込み(OLE)緩和策をバイパスすることができます。これらの緩和策は、脆弱なコンポーネントオブジェクトモデル(COM)およびOLEコントロールからユーザーを保護するものです。
攻撃を成功させるには、攻撃者はユーザーに悪意のあるOfficeファイルを送信し、それを開くように説得する必要があるとMicrosoftはアドバイザリで述べています。
この脆弱性は、Microsoft Threat Intelligence Center(MSTIC)、Microsoft Security Response Center(MSRC)、およびOffice Product Group Security Teamによって発見されました。
1月26日にMicrosoftによって報告され、CVE-2026-21509の追跡番号が割り当てられ、CVSS 3.1スコア7.8の高深刻度と評価されました。
Microsoft Office 2016、2019、LTSC 2021、LTSC 2024、およびMicrosoft 365 Apps for Enterpriseの複数のバージョンに影響します。
Microsoftは実際に悪用されている証拠を検出したことを確認し、Microsoft Office 2016および2019を実行している顧客に対して、保護されるために更新プログラムがインストールされていることを確認するよう促しました。
Office 2021以降を実行している顧客は、サービス側の変更により自動的に保護されますが、これを有効にするにはOfficeアプリケーションを再起動する必要があります。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-patch-office-zero-day/
