Microsoft dicht gevaarlijk lek in Office
Maandag heeft Microsoft een extra patch beschikbaar gemaakt. Die dicht het lek in MS Office dat hackers de mogelijkheid biedt om beveiligingsfuncties te omzeilen. Die kwetsbaarheid kreeg de code CVE-2026-21509, met de score van 7,8 op 10.
Aanvallers sturen een speciaal gefabriceerd Office-bestand en overtuigen de ontvangers om dat te openen. Deze kwetsbaarheid omzeilt de OLE‑beveiligingsmaatregelen in Microsoft 365 en Microsoft Office. Deze maatregelen zijn bedoeld om gebruikers te beschermen tegen onveilige COM‑ en OLE‑componenten. Ter verduidelijking: COM (Component Object Model) is een technische omkadering van Microsoft die toelaat dat verschillende software-onderdelen met elkaar communiceren, terwijl het daaruit volgende OLE (Object Linking and Embedding) toelaat dat een programma een object van een ander programma insluit in het document of het koppelt via een link.
Die interactiemogelijkheden binnen het Office-landschap bevatten dus een kwetsbaarheid die uitnodigt tot uitbuiting. Microsoft ontdekte het beveiligingslek zelf en speelde meteen kort op de bal door een noodpatch uit te brengen. Het lek is trouwens actief misbruikt. Verdere details gaf het bedrijf niet vrij.
Wie nog Office 2019 of 2016 gebruikt, moet de patch zeker installeren. Zo ben je meteen beschermd. Heb je al Office 2021, dan kan je rekenen op de update die Microsoft via zijn eigen servers al heeft gedaan. Denk er wel aan om Office volledig af te sluiten en opnieuw op te starten voor je verder werkt.
