В Банк данных угроз безопасности информации (BDU) была добавлена запись с идентификатором BDU:2026-08118 (CVE-2026-26142), описывающая новую критическую проблему в пакете Microsoft Office. Этот инцидент касается миллионов пользователей по всему миру. Речь идет о дефекте, который затрагивает практически все актуальные версии офисного пакета, включая сборки для персональных компьютеров, устройств на macOS и даже мобильной платформы Android.
Детали уязвимости
Суть уязвимости кроется в особенностях работы с числами в программном коде. Специалисты относят ее к типу "целочисленная потеря значимости" (CWE-191). Это означает, что обработчик внутри программы неправильно обрабатывает числовые данные. Из-за математической ошибки возникает состояние, известное как переполнение буфера в стеке (CWE-121). Злоумышленник, воспользовавшись такой путаницей, может переписать часть оперативной памяти и получить контроль над системой.
Важно подчеркнуть масштаб угрозы. Согласно шкале CVSS 3.1, которая является отраслевым стандартом для оценки серьезности уязвимостей, этот дефект получил 9,8 баллов из десяти возможных. Это максимально близкий к "абсолюту" уровень опасности. Почему оценка столь высока? Дело в том, что для проведения атаки нарушителю не требуется никаких предварительных действий со стороны жертвы. Он может отправить специально подготовленный документ по электронной почте или через мессенджер. Как только пользователь откроет такой файл, вредоносный код начнет выполняться без его ведома. Более того, для атаки не нужна аутентификация.
Какие именно продукты оказались под угрозой? Перечень обширен. В зону риска попали Microsoft Office 2016, Office 2019, Office LTSC 2021 и Office LTSC 2024. Также уязвимость обнаружена в облачных подписках Microsoft 365 Apps for Enterprise и Office 365. Отдельно стоит выделить версии для macOS и Android. Разработчик уже подтвердил наличие проблемы. Компания Microsoft уже выпустила исправление на своем официальном портале обновлений.
Технически эксплуатация выглядит как манипулирование структурами данных. Документ должен содержать мельчайшую программную ошибку в алгоритме вычисления размера переменной. Это приводит к тому, что программа выделяет недостаточно памяти для данных. В результате следующий за вычислительной ошибкой код может быть записан в область, зарезервированную для других целей. Именно так и происходит внедрение произвольного кода. Потенциально злоумышленник может установить программы-вымогатели, похитить корпоративные базы данных или просто вывести из строя компьютер.
Каковы вероятные последствия для бизнеса? Прежде всего, стоит говорить о риске полной компрометации рабочей станции. Если атака будет успешной, нарушитель получит те же права, что и текущий пользователь. В корпоративной среде это означает доступ к локальным файлам, внутренним сетевым ресурсам и, возможно, к системам класса SIEM. В результате простой компании может составить от нескольких часов до нескольких суток. Особенно это критично для организаций, которые не успели вовремя установить обновления.
Стоит отметить, что вектор атаки является сетевым. Это значит, что для доставки полезной нагрузки нарушителю не нужно физически проникать в офис. Ему достаточно иметь канал связи с жертвой. Таким образом, данная уязвимость может быть активно использована в целевых атаках на конкретные компании (APT-группировками). Тем не менее, наличие эксплойта на данный момент не подтверждено открытыми источниками, хотя специалисты не исключают его появления в ближайшее время.
Для специалистов по информационной безопасности главный вывод из этой новости очевиден: необходимо срочно провести инвентаризацию установленного ПО. В первую очередь следует обратить внимание на старые версии, такие как Office 2016. Хотя вендор заявляет, что уязвимость устранена, фактическая защита зависит только от действий администраторов. Пользователям настоятельно рекомендуется проверить наличие обновлений через встроенный механизм обновления Windows или macOS. Промедление в данном случае может привести к серьезным финансовым потерям.
В целом можно констатировать, что очередной виток противостояния между разработчиками и злоумышленниками продолжается. Компания Microsoft оперативно отреагировала на угрозу и выпустила патч. Однако, как показывает практика, именно человеческий фактор - нежелание перезагружать компьютер или откладывание установки обновлений - часто становится главной причиной успешных атак. Поэтому сейчас ключевая задача для всех пользователей - как можно скорее установить исправление по адресу, указанному в уведомлении об уязвимости. Только это позволит гарантированно нейтрализовать опасность.
Ссылки
- https://bdu.fstec.ru/vul/2026-08118
- https://www.cve.org/CVERecord?id=CVE-2026-26142
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26142
