Более 30 уязвимостей в Microsoft Office: удаленное выполнение кода и утечка данных

Корпорация Microsoft выпустила пакет обновлений, закрывающих 31 уязвимость в продуктах Microsoft Office. Все проблемы были задокументированы в соответствующих бюллетенях безопасности, опубликованных на портале MSRC (Microsoft Security Response Center). Уязвимости затрагивают широкий спектр версий офисного пакета, включая Microsoft 365 Apps for Enterprise, Office 2016, 2019, LTSC 2021 и 2024, Office для macOS, Android, а также серверный продукт Office Online Server.

Детали уязвимостей

Набор обнаруженных дефектов охватывает несколько категорий, наиболее критичными из которых являются уязвимости удалённого выполнения кода. Согласно бюллетеням, эксплуатация ряда CVE-идентификаторов (CVE-2026-44803, CVE-2026-44812, CVE-2026-44817, CVE-2026-44818, CVE-2026-44819, CVE-2026-44820 и десятка других) позволяет злоумышленнику выполнить произвольный код на целевой системе без аутентификации. Вектор атаки в основном локальный, но имеются и исключения, например CVE-2026-44822 - уязвимость раскрытия информации в Microsoft Excel, которая может быть использована удалённо (с оценкой CVSS 3.1 в 8,2). Помимо выполнения кода, ряд уязвимостей (CVE-2026-44821, CVE-2026-44822, CVE-2026-45455, CVE-2026-45460 и другие) ведут к несанкционированному раскрытию конфиденциальных данных - как локально, так и по сети.

Технически большая часть проблем связана с типичными для приложений класса Office ошибками работы с памятью: переполнение буфера в куче (heap buffer overflow), использование памяти после освобождения (use after free), целочисленные переполнения (integer overflow и integer underflow) и путаница типов (type confusion). К примеру, CVE-2026-44803 и CVE-2026-44812 описывают целочисленное переполнение в графическом компоненте Windows (Win32K - GRFX), который используется при отображении содержимого документов Office. Эти уязвимости имеют оценку 7,8 по шкале CVSS и позволяют повысить привилегии до выполнения кода в контексте текущего пользователя.

Особого внимания заслуживают четыре уязвимости с оценкой 8,4 - CVE-2026-45456, CVE-2026-45458, CVE-2026-45461, CVE-2026-45463 и CVE-2026-45472. Все они связаны с удалённым выполнением кода через Microsoft Outlook и Word. Их эксплуатация возможна даже без взаимодействия с пользователем (вектор AV:L с AC:L, но PR:N и UI:N, что означает отсутствие необходимости в пользовательском согласии) - достаточно, чтобы жертва открыла специально сформированное письмо или файл в приложении, поддерживающем предпросмотр. Это делает данные уязвимости особенно опасными для корпоративного сектора, где электронная почта остаётся основным каналом доставки вредоносного контента.

Несколько уязвимостей связаны с обходом механизмов безопасности. CVE-2026-45459 затрагивает защиту Microsoft Excel и позволяет локально обойти ограничения на выполнение макросов или скриптов. Ещё одна - CVE-2026-45649 - касается Android-версии Office и даёт возможность злоумышленнику выполнить спуфинг (подмену) содержимого документа, что может быть использовано в фишинговых атаках на мобильных устройствах. CVE-2026-47293 повышает привилегии в компоненте Click-To-Run, используемом для доставки и обновления Office, что потенциально позволит атакующему с ограниченными правами получить контроль над системой.

Согласно бюллетеням безопасности, опубликованным Microsoft 9 июня 2026 года, все перечисленные уязвимости устраняются установкой последних обновлений, доступных через механизм Microsoft Update. Для корпоративных сред рекомендуется как можно скорее развернуть патчи на всех рабочих станциях и серверах, где используется Office, включая мобильные устройства и серверные компоненты Office Online Server. Организации, игнорирующие установку обновлений, подвергаются риску компрометации: в случае эксплуатации уязвимости злоумышленник может получить полный контроль над системой пользователя, похитить конфиденциальные данные или использовать заражённое устройство как точку входа в корпоративную сеть.

Таким образом, июньское обновление безопасности Microsoft Office закрывает один из крупнейших наборов уязвимостей за последнее время. Учитывая широкое распространение пакета в бизнес-среде, оперативное применение патчей является обязательным для всех организаций, заботящихся о защите информационных активов.

Детали уязвимостей

Ссылки