Notebookcheck Logo

Microsoft rilascia una patch fuori banda per la vulnerabilità zero-day di Microsoft Office sfruttata attivamente

La schermata di installazione dell'aggiornamento di sicurezza di Windows 11 mostra l'avanzamento del download (Fonte immagine: Pabitra Kaity da Pixabay)
La schermata di installazione dell'aggiornamento di sicurezza di Windows 11 mostra l'avanzamento del download (Fonte immagine: Pabitra Kaity da Pixabay)
Microsoft ha rilasciato un aggiornamento di sicurezza fuori banda per risolvere una vulnerabilità di Microsoft Office attivamente sfruttata, identificata come CVE-2026-21509. La falla consente agli aggressori di aggirare le protezioni di sicurezza di Office tramite documenti dannosi ed è stata aggiunta al catalogo delle vulnerabilità sfruttate note del CISA.
Security Windows Software Desktop Laptop / Notebook

Microsoft ha rilasciato un aggiornamento di sicurezza fuori banda per risolvere una vulnerabilità zero-day attivamente sfruttata che colpisce Microsoft Office, aggiungendo ulteriore pressione a un ciclo di aggiornamenti di gennaio 2026 già turbolento, che ha visto anche seri problemi di stabilità sui sistemi Windows 11.

Tracciata come CVE-2026-21509, la vulnerabilità è classificata come un bypass della funzione di sicurezza causato dalla "dipendenza da input non attendibili in una decisione di sicurezza in Microsoft Office", secondo il Microsoft Security Response Center. Uno sfruttamento riuscito consente a un aggressore di aggirare localmente le protezioni di sicurezza di Office, in particolare le mitigazioni OLE progettate per bloccare i controlli COM e OLE vulnerabili.

Microsoft ha assegnato alla falla un punteggio CVSS v3.1 di 7.8 e ha confermato che è stata sfruttata in modo selvaggio. Sebbene l'azienda non abbia rivelato i dettagli tecnici degli attacchi, ha notato che lo sfruttamento richiede l'interazione dell'utente, con gli aggressori che devono convincere le vittime ad aprire un file Office appositamente creato. Il riquadro di anteprima non è un vettore di attacco.

I sistemi che eseguono Office 2021 e più recenti sono protetti automaticamente attraverso una modifica lato servizio, anche se gli utenti devono riavviare le applicazioni Office affinché la mitigazione abbia effetto. I clienti con Office 2016 e Office 2019, invece, non sono protetti finché non installano gli ultimi aggiornamenti di sicurezza installano gli ultimi aggiornamenti di sicurezza. Microsoft ha anche fornito un workaround basato sul registro che può essere applicato immediatamente sui sistemi interessati per bloccare lo sfruttamento prima della patch.

La vulnerabilità è stata aggiunta al catalogo Known Exploited Vulnerabilities (Vulnerabilità conosciute e sfruttate) gestito dalla Cybersecurity and Infrastructure Security Agency (Agenzia per la sicurezza delle infrastrutture e della sicurezza informatica), che richiede alle agenzie federali statunitensi di applicare gli aggiornamenti entro il 16 febbraio 2026.

All'inizio di questo mese, L'aggiornamento di sicurezza KB5074109 di Windows 11 è stato collegato a problemi di stabilità diffusi e a segnalazioni di fallimenti di avvio UNMOUNTABLE_BOOT_VOLUME su alcuni sistemi, sottolineando lo stato sempre più fragile dei recenti aggiornamenti di Windows e Office.

Please share our article, every link counts!
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 01 > Microsoft rilascia una patch fuori banda per la vulnerabilità zero-day di Microsoft Office sfruttata attivamente
Praneeta, 2026-01-28 (Update: 2026-01-28)