Emergency Microsoft update fixes in-the-wild Office zero-day
2026/01/26 SecurityAffairs — Microsoft が公開したのは、Office のゼロデイ脆弱性に対処するため、緊急 (out-of-band) のセキュリティ更新プログラムである。この脆弱性 CVE-2026-21509 は、現時点での悪用が確認されている 。このセキュリティ機能バイパスの脆弱性が影響を及ぼす範囲は、Microsoft Office 2016/2019/LTSC 2021/LTSC 2024 および 365 Apps for Enterprise の複数のバージョンとなる。
Microsoft のアドバイザリには、「この脆弱性は、実環境で悪用されている。Microsoft Office におけるセキュリティ判断で、信頼されていない入力への依存が生じると、認可されていない攻撃者がローカル・セキュリティ機能をバイパスできる。この脆弱性を悪用する攻撃者は、悪意の Office ファイルをユーザーに送信し、それを開かせる必要がある」と記されている。
今回のアップデートは、Microsoft 365 および Office における OLE セキュリティ保護の回避を可能とする欠陥に対処するものである。脆弱な COM/OLE コントロールへの露出を引き起こしていた問題が、それにより修正される。
Office のプレビュー・ペインに関しては、この脆弱性の影響を受けず、攻撃ベクターとして利用できないことを、Microsoft は確認している。その一方で、この脆弱性を悪用する攻撃の技術的詳細については開示していない。
現時点の Microsoft は、Microsoft Office 2016/2019 に対する修正に取り組んでおり、セキュリティ更新プログラムは可能な限り早急に提供される予定である。
Microsoft は、悪用リスクを低減するための緩和策も提供している。Office 2021 以降のバージョンでは、アプリケーションの再起動後にサービス側の修正により、自動的に保護が適用される。
その一方で、Office 2016/2019 では、今後公開されるセキュリティ更新プログラムをインストール、もしくは、脆弱な COM/OLE コントロールをブロックするための手動でのレジストリ変更が必要になる。この対応には、特定の COM Compatibility レジストリ・キーを追加し、Compatibility Flags の DWORD 値を設定する作業が含まれる。
レジストリを変更する前には必ずバックアップを取得し、設定を反映させるために Office を再起動することが推奨されている。
Microsoft が、Office に存在する深刻なゼロデイ脆弱性 CVE-2026-21509 を修正する、緊急セキュリティ更新プログラムを公開しました。この問題の原因は、Office が外部から取り込まれた信頼できないデータ (OLE/COM コントロール) を処理する際に、セキュリティ上の判断をデータに依存してしまい、本来であれば機能すべき保護機能が回避されてしまう点にあります。
この不備を突く攻撃者は、細工した悪意のある Office ファイルをメールなどで送信します。そのファイルをユーザーが開くと、ローカルのセキュリティ制限が回避され、不正な処理が実行される恐れがあります。幸い、プレビュー画面でファイルを見るだけではこの攻撃は成立しませんが、実際にファイルを開く動作がリスクとなります。
現在、Microsoft 365 や Office 2021 以降の最新版では、アプリケーションの再起動により、自動的に修正が適用される仕組みが整っています。しかし、Office 2016/2019についてはパッチの準備中という段階にあります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.