Microsoft heeft een noodpatch uitgebracht voor een kwetsbaarheid in Office die actief wordt aangevallen. Deze kwetsbaarheid stelt aanvallers in staat om beveiligingsfuncties lokaal te omzeilen, wat kan leiden tot het uitvoeren van kwaadaardige code.

Om de kwetsbaarheid (CVE-2026-21509) te misbruiken, moet een aanvaller een doelwit een speciaal aangepast Office-document laten openen. De kwetsbaarheid maakt het mogelijk om Object Linking and Embedding (OLE) mitigaties te omzeilen. Office staat het embedden van objecten in documenten toe, en Microsoft heeft beschermingsmaatregelen toegevoegd om misbruik door malafide objecten te voorkomen. Deze maatregelen kunnen via CVE-2026-21509 worden omzeild. Microsoft heeft geen verdere details over de kwetsbaarheid of aanvallen verstrekt. Het bedrijf ontdekte zelf het misbruik en heeft beveiligingsupdates uitgebracht om het probleem op te lossen. Gebruikers van Office 2016 en 2019 moeten de patch installeren voor bescherming. Gebruikers van Office 2021 en later zijn automatisch beschermd via een server-side aanpassing, maar moeten hun Office-applicatie opnieuw starten. De kwetsbaarheid heeft een impactscore van 7.8 op een schaal van 1 tot 10.