Microsoft heeft beveiligingsupdates voor twee kritieke kwetsbaarheden in Office die remote code execution mogelijk maken ook beschikbaar gesteld voor de Mac-versie van de kantoorsoftware. Op 9 januari kwam Microsoft tijdens de patchdinsdag van december met patches voor twee kritieke beveiligingslekken in Office, aangeduid als CVE-2025-62557 en CVE-2025-62554.

Om deze twee beveiligingslekken te misbruiken moet een aanvaller het doelwit een e-mail sturen met daarin een malafide link. Daarbij hoeft het doelwit de e-mail niet te openen, te lezen of op de link te klikken om de aanvaller code op het systeem van het slachtoffer uit te laten voeren. Misbruik kan ook via het Voorbeeldvenster (Preview Pane) plaatsvinden. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.4. Misbruik is volgens Microsoft "minder waarschijnlijk".

Toen Microsoft de beveiligingsupdates beschikbaar maakte liet het ook weten dat er nog geen patches voor de macOS-versie van Office waren. Gisterenavond maakte Microsoft bekend dat de updates nu ook voor Microsoft Office LTSC for Mac 2021 en 2024 beschikbaar zijn. Daarnaast zijn ook meerdere beveiligingslekken in Word, Excel en Outlook in de Mac-versies gepatcht. De kwetsbaarheid in Microsoft Outlook maakt het mogelijk voor aanvallers om op afstand code op de systemen van slachtoffers uit te voeren als die een malafide e-mail beantwoorden.