SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

27 ene 2026

Segu-Info » » Microsoft Office Zero-Day (CVE-2026-21509): parche de emergencia emitido por explotación activa

Microsoft Office Zero-Day (CVE-2026-21509): parche de emergencia emitido por explotación activa

27 ene 2026, 8:33:00 a.m.   Comenta primero!
   

Microsoft lanzó parches fuera de banda para un Zero-Day de Microsoft Office explotado activamente.

La vulnerabilidad, identificada como CVE-2026-21509 (CVSS 7,8), se ha descrito como una omisión de característica de seguridad en Microsoft Office. "La dependencia de datos no confiables en una decisión de seguridad en Microsoft Office permite a un atacante no autorizado eludir una característica de seguridad localmente", dijo el gigante en un aviso. "Esta actualización soluciona una vulnerabilidad que evita las mitigaciones OLE en Microsoft 365 y Microsoft Office, que protegen a los usuarios de controles COM/OLE vulnerables".

La explotación exitosa de la falla depende de que un atacante envíe un archivo de Office especialmente diseñado y convenza a los destinatarios para que lo abran. También señaló que el Panel de vista previa no es un vector de ataque.

Microsoft dijo que los clientes que ejecuten Office 2021 y versiones posteriores estarán protegidos automáticamente mediante un cambio en el lado del servicio, pero deberán reiniciar sus aplicaciones de Office para que esto surta efecto. Para aquellos que ejecutan Office 2016 y 2019, es necesario instalar las siguientes actualizaciones:

  • Microsoft Office 2019 (32-bit edition) - 16.0.10417.20095
  • Microsoft Office 2019 (64-bit edition) - 16.0.10417.20095
  • Microsoft Office 2016 (32-bit edition) - 16.0.5539.1001
  • Microsoft Office 2016 (64-bit edition) - 16.0.5539.1001

Como mitigación, la compañía insta a los clientes a realizar un cambio en el Registro de Windows siguiendo estos pasos.

Microsoft no ha compartido ningún detalle sobre la naturaleza y el alcance de los ataques que explotan CVE-2026-21509. Le dio crédito al Centro de inteligencia de amenazas de Microsoft (MSTIC), al Centro de respuesta de seguridad de Microsoft (MSRC) y al equipo de seguridad del grupo de productos de Office por descubrir el problema.

El desarrollo ha llevado a CISA a agregar la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!