CiberSegurançaNews
Tendência

Microsoft lança atualização de emergência para corrigir vulnerabilidade crítica no Office

Falha zero-day no Microsoft Office com pontuação CVSS de 7,8 permite bypass de segurança; usuários devem atualizar versões 2016, 2019 e 2021

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail 1 semana atrás
0 45 1 minuto de leitura

Na última segunda-feira, a Microsoft divulgou atualizações de segurança fora do cronograma para corrigir uma vulnerabilidade zero-day de alta gravidade no Microsoft Office, que já estava sendo explorada em ataques direcionados.

Identificada como CVE-2026-21509, a falha possui uma pontuação CVSS de 7,8 em 10, sendo classificada como uma brecha que permite contornar recursos de proteção do Office.

“A dependência de entradas não confiáveis em uma decisão de segurança no Microsoft Office permite que um invasor não autorizado ignore um recurso de segurança local”, explicou a Microsoft.

A atualização corrige especificamente a vulnerabilidade que ignora medidas de mitigação OLE no Microsoft 365 e no Microsoft Office, responsáveis por proteger os usuários contra controles COM/OLE vulneráveis.

A exploração bem-sucedida exige que o atacante envie um arquivo do Office especialmente criado e convença o destinatário a abri-lo. A Microsoft reforçou que o Painel de Visualização não representa um vetor de ataque para esta falha.

Para usuários do Office 2021 e versões posteriores, a proteção será aplicada automaticamente via alteração no servidor, sendo necessário apenas reiniciar os aplicativos. Já para Office 2016 e 2019, é necessário instalar manualmente as seguintes atualizações:

  • Office 2019 (32 bits) – 16.0.10417.20095

  • Office 2019 (64 bits) – 16.0.10417.20095

  • Office 2016 (32 bits) – 16.0.5539.1001

  • Office 2016 (64 bits) – 16.0.5539.1001

Medida de mitigação recomendada:
A Microsoft sugere que os clientes realizem uma alteração no Registro do Windows:

  1. Faça backup do Registro.

  2. Feche todos os aplicativos do Microsoft Office.

  3. Abra o Editor de Registro.

  4. Localize a subchave de registro correspondente ao seu tipo de instalação do Office (MSI ou Click-to-Run, 32 ou 64 bits).

  5. Adicione uma nova subchave {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} em Compatibilidade COM.

  6. Dentro da subchave, crie um valor DWORD (32 bits) chamado Compatibility Flags com valor 400.

  7. Feche o Editor de Registro e reinicie o Office.

A Microsoft não divulgou detalhes sobre a extensão dos ataques explorando a CVE-2026-21509, mas creditou a descoberta ao Centro de Inteligência de Ameaças (MSTIC), ao Centro de Resposta de Segurança (MSRC) e à Equipe de Segurança do Office.

A vulnerabilidade foi incluída no catálogo KEV da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), exigindo que as agências federais corrijam a falha até 16 de fevereiro de 2026.

Fonte: The Hacker News

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail 1 semana atrás
0 45 1 minuto de leitura
Foto de Café com Bytes CCB

Café com Bytes CCB

Sua dose diária de tecnologia_

Artigos relacionados

Apple pode quebrar exclusividade histórica e redesenhar sua estratégia de chips

11 horas atrás

Cultura Justa e Transparente de Segurança Digital

12 horas atrás

“A Spike Lee Joint”: tradição, provocação e luta de classes no cinema de um autor inquieto

12 horas atrás

‘Lobos’: Entenda o fim e a reviravolta do filme de Brad Pitt e George Clooney

12 horas atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo