Masz Office'a? Zaktualizuj go natychmiast!

Jeśli używasz pakietu Microsoft Office w domu lub w pracy, przerwij to, co robisz, i sprawdź dostępność aktualizacji.

Microsoft wydał awaryjną łatkę bezpieczeństwa (poza standardowym cyklem), aby załatać krytyczną podatność typu zero-day, oznaczoną jako CVE-2026-21509. Sprawa jest poważna, ponieważ gigant z Redmond potwierdził, że błąd ten jest już aktywnie wykorzystywany przez cyberprzestępców.

Podatność dotyczy szerokiego spektrum wersji, od Office 2016, przez wersję 2019 i 2021, aż po najnowszy LTSC 2024 i Microsoft 365 Apps. Luka pozwala atakującym na ominięcie zabezpieczeń OLE (Object Linking and Embedding). W praktyce oznacza to, że hakerzy mogą przygotować specjalnie spreparowany plik (np. dokument Worda lub arkusz Excela), którego otwarcie przez niczego nieświadomą ofiarę uruchamia złośliwy kod z uprawnieniami lokalnymi, potencjalnie dając napastnikowi kontrolę nad systemem.

Co istotne, atak wymaga interakcji użytkownika - musisz otworzyć plik przesłany np. w mailu phishingowym. Microsoft uspokaja, że sam podgląd dokumentu w okienku „Preview Pane” w Outlooku jest bezpieczny, ale to marne pocieszenie w obliczu socjotechnik stosowanych przez oszustów. Dla nowszych wersji (Office 2021 i nowsze) zabezpieczenie jest wdrażane automatycznie po restarcie aplikacji, ale starsze edycje (2016/2019) mogą wymagać ręcznej instalacji łatki lub edycji rejestru systemowego.

Wydanie aktualizacji w trybie „out-of-band” świadczy o skali zagrożenia. W świecie cyberbezpieczeństwa „zero-day” oznacza, że twórcy oprogramowania nie wiedzieli o błędzie przed jego pierwszym wykorzystaniem, co daje atakującym przewagę. Teraz wyścig z czasem trwa - kto pierwszy zaktualizuje system, ten uniknie infekcji. Nie bądźcie tymi, którzy spóźnią się na ten wyścig.