Один файл + один клик = ODay в MS Office. Microsoft принимает меры против эксплуатируемой уязвимости

Microsoft экстренно выпустила внеплановые обновления безопасности для Microsoft Office из-за опасной уязвимости нулевого дня, которую уже используют в реальных атаках. Проблема позволяет обходить встроенные механизмы защиты и может быть использована через обычный вредоносный документ, если пользователь просто откроет файл.

Уязвимость получила идентификатор CVE-2026-21509 и затрагивает Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 и Microsoft 365 Apps for Enterprise. По данным компании, исправления уже доступны для новых версий Office, а пользователи Office 2021 и более свежих сборок будут защищены автоматически после перезапуска приложений. При этом обновления для Office 2016 и 2019 пока не выпущены и появятся позже.

Суть проблемы заключается в обходе защитных механизмов, связанных с COM и OLE-компонентами. Злоумышленнику достаточно отправить жертве вредоносный файл и убедить её открыть документ, после чего возможно локальное выполнение атаки. Microsoft подчёркивает, что окно предпросмотра не используется как вектор атаки, однако само взаимодействие пользователя с файлом остаётся ключевым фактором риска.

Для пользователей Office 2016 и 2019 компания предложила временные меры по снижению угрозы через изменения в реестре Windows, которые, по заявлению Microsoft, могут уменьшить риск эксплуатации до выхода официальных патчей. При этом подробностей об обнаружении уязвимости и технических деталей атак корпорация не раскрыла. Инцидент стал частью более широкой волны экстренных обновлений в январе 2026 года, когда Microsoft уже закрыла десятки других уязвимостей, включая несколько активно эксплуатируемых багов нулевого дня.