Microsoft rolt noodpatch uit voor actief aangevallen kwetsbaarheid in Office
Microsoft heeft een noodpatch uitgerold voor een actief aangevallen kwetsbaarheid in Office waardoor aanvallers beveiligingsfuncties lokaal kunnen omzeilen, wat in het ergste geval tot het uitvoeren van kwaadaardige code kan leiden. Om misbruik van het beveiligingslek (CVE-2026-21509) te maken moet een aanvaller het doelwit een speciaal geprepareerd Office-document laten openen.
Via de kwetsbaarheid is het mogelijk om Object Linking and Embedding (OLE) mitigaties te omzeilen. Office biedt de mogelijkheid om objecten in documenten te embedden. Om te voorkomen dat aanvallers hier misbruik van maken door malafide objecten aan documenten toe te voegen heeft Microsoft verschillende beschermingsmaatregelen toegevoegd. Deze maatregelen zijn via CVE-2026-21509 te omzeilen. Verdere details over de kwetsbaarheid of aanvallen zijn niet door Microsoft gegeven.
Het techbedrijf ontdekte zelf dat de kwetsbaarheid werd misbruikt. Er zijn nu beveiligingsupdates uitgebracht om het probleem te verhelpen. Gebruikers van Office 2016 en 2019 moeten de patch installeren om beschermd te zijn. Gebruikers van Office 2021 en later zijn automatisch beschermd via een service-side aanpassing, maar hiervoor moeten deze gebruikers wel hun Office-applicatie opnieuw starten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8.
Heb je je pc niet super veilig gemaakt door die vervelende microsoft updater uit te zetten in opstart taken?
Heb je je pc niet super veilig gemaakt door die vervelende microsoft updater uit te zetten in opstart taken?
Nee. Ik zou niet eens weten waarom ik dat zou moeten doen. Bovendien krijg ik verder alle updates e.d. via alle kanalen binnen hoor, alleen deze niet. Althans, niks van gemerkt.
Heb je je pc niet super veilig gemaakt door die vervelende microsoft updater uit te zetten in opstart taken?
Nee. Ik zou niet eens weten waarom ik dat zou moeten doen. Bovendien krijg ik verder alle updates e.d. via alle kanalen binnen hoor, alleen deze niet. Althans, niks van gemerkt.
als de update niet automatisch aanstaat. gewoon ff wachten tot vrijdag 30-1-26 en dan op UpdateZoeken drukken.
en als ik het goed heb zitten alle updates ook die van office er gelijk in verwerkt. en anders office open en dan kijken of ergens help staat, daar staat meestal ook ergens update bij;
Heb je je pc niet super veilig gemaakt door die vervelende microsoft updater uit te zetten in opstart taken?
Nee. Ik zou niet eens weten waarom ik dat zou moeten doen. Bovendien krijg ik verder alle updates e.d. via alle kanalen binnen hoor, alleen deze niet. Althans, niks van gemerkt.
als de update niet automatisch aanstaat. gewoon ff wachten tot vrijdag 30-1-26 en dan op UpdateZoeken drukken.
en als ik het goed heb zitten alle updates ook die van office er gelijk in verwerkt. en anders office open en dan kijken of ergens help staat, daar staat meestal ook ergens update bij;
Mijn updates staan gewoon standaard ingesteld. En je hebt gelijk, het is nu vrijdagochtend 30/01 en terwijl ik dit type download ik een update die ik ontvang via Windows Update. Hoe wist jij dat dit gepland stond op deze datum? Bravo!
op of rond de 28 van elke maand komt de grote update uit. maar die kan nog altijd vol met kleine of grote problemen zitten, en dat is al sinds XP uitkwam. en als die update niet voor of op de 30 van die maand is ingetrokken. dan kan die dat op die dag gewoon binnen halen op laten komen. en de kleine updates komen gewoon binnen bij mij, maar die stel ik altijd ff uit tot de vrijdag van die week;
op of rond de 28 van elke maand komt de grote update uit. maar die kan nog altijd vol met kleine of grote problemen zitten, en dat is al sinds XP uitkwam. en als die update niet voor of op de 30 van die maand is ingetrokken. dan kan die dat op die dag gewoon binnen halen op laten komen. en de kleine updates komen gewoon binnen bij mij, maar die stel ik altijd ff uit tot de vrijdag van die week;
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?