Notebookcheck Logo

Microsoft publie un correctif hors bande pour la vulnérabilité zero-day de Microsoft Office activement exploitée

Écran d'installation de la mise à jour de sécurité de Windows 11 montrant la progression du téléchargement (Image Source : Pabitra Kaity from Pixabay)
Écran d'installation de la mise à jour de sécurité de Windows 11 montrant la progression du téléchargement (Image Source : Pabitra Kaity from Pixabay)
Microsoft a publié une mise à jour de sécurité hors bande pour corriger une vulnérabilité de Microsoft Office activement exploitée, répertoriée sous le nom de CVE-2026-21509. Cette faille permet aux attaquants de contourner les protections de sécurité d'Office via des documents malveillants et a été ajoutée au catalogue des vulnérabilités connues et exploitées de la CISA.
Security Windows Software Desktop Laptop / Notebook

Microsoft a publié une mise à jour de sécurité mise à jour de sécurité hors bande pour remédier à une vulnérabilité de type "zero-day" activement exploitée et affectant Microsoft Office, ajoutant ainsi une pression supplémentaire à un cycle de mise à jour de janvier 2026 déjà mouvementé, qui a également connu de graves problèmes de stabilité sur les systèmes Windows 11.

Répertoriée sous le nom de CVE-2026-21509, la vulnérabilité est classée comme un contournement de fonctionnalité de sécurité causé par "la dépendance à des entrées non fiables dans une décision de sécurité dans Microsoft Office", selon le Centre de réponse de sécurité de Microsoft. Une exploitation réussie permet à un attaquant de contourner localement les protections de sécurité d'Office, en particulier les mesures d'atténuation OLE conçues pour bloquer les contrôles COM et OLE vulnérables.

Microsoft a attribué à la faille un score CVSS v3.1 de 7,8 et a confirmé qu'elle était exploitée dans la nature. Bien que la société n'ait pas divulgué de détails techniques sur les attaques, elle a noté que l'exploitation nécessite une interaction avec l'utilisateur, les attaquants devant convaincre les victimes d'ouvrir un fichier Office spécialement conçu. Le volet de prévisualisation n'est pas un vecteur d'attaque.

Les systèmes utilisant Office 2021 et les versions plus récentes sont automatiquement protégés par un changement de service, bien que les utilisateurs doivent redémarrer leurs applications Office pour que l'atténuation prenne effet. Les utilisateurs d'Office 2016 et d'Office 2019 ne sont toutefois pas protégés tant qu'ils n'ont pas installé les dernières mises à jour de sécurité installer les dernières mises à jour de sécurité. Microsoft a également fourni une solution de contournement basée sur le registre qui peut être appliquée immédiatement sur les systèmes affectés pour bloquer l'exploitation avant l'application des correctifs.

La vulnérabilité a été ajoutée au catalogue des vulnérabilités exploitées connues tenu par l'Agence de cybersécurité et de sécurité des infrastructures, qui demande aux agences fédérales américaines d'appliquer les mises à jour avant le 16 février 2026.

Au début du mois, La mise à jour de sécurité KB5074109 de Windows 11 a été associée à des problèmes de stabilité généralisés et à des rapports faisant état d'échecs de démarrage UNMOUNTABLE_BOOT_VOLUME sur certains systèmes, soulignant l'état de plus en plus fragile des récentes mises à jour de Windows et d'Office.

Please share our article, every link counts!
Mail Logo

Articles en relation

> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2026 01 > Microsoft publie un correctif hors bande pour la vulnérabilité zero-day de Microsoft Office activement exploitée
Praneeta, 2026-01-28 (Update: 2026-01-28)