A Microsoft lançou uma atualização de segurança fora do calendário regular para corrigir uma falha crítica no Microsoft Office, identificada como CVE-2026-21509. A vulnerabilidade, já explorada por cibercriminosos, permite que invasores burlem mecanismos de segurança do Office ao convencerem vítimas a abrir arquivos maliciosos. Com pontuação CVSS de 7.8, a falha está relacionada à forma como o Office lida com entradas não confiáveis em decisões de segurança.
O problema afeta as proteções contra controles COM e OLE vulneráveis, usadas para impedir execução não autorizada de código em documentos. Segundo a Microsoft, o ataque não pode ser executado por meio do modo de visualização do Outlook, exigindo que a vítima abra manualmente o arquivo comprometido. O patch já está disponível para Office 2016 e 2019, enquanto usuários do Office 2021 ou posterior receberão a correção automaticamente, desde que reiniciem os aplicativos. A falha foi adicionada ao catálogo de vulnerabilidades ativamente exploradas da CISA, a agência de segurança cibernética dos EUA.
Órgãos do governo americano têm até 16 de fevereiro para aplicar as correções. Embora a Microsoft não tenha revelado detalhes sobre os ataques em andamento, o alerta foi reforçado por equipes internas de inteligência e segurança da empresa. A vulnerabilidade representa um risco especialmente alto para ambientes corporativos que lidam com documentos externos regularmente. A recomendação é que todos os administradores verifiquem e atualizem suas instalações do Office imediatamente, reforçando medidas de proteção contra arquivos suspeitos e limitando a execução de conteúdos externos.
