На этой неделе корпорация Microsoft выпустила обновления для своих продуктов Office, закрыв 28 уязвимостей различной степени критичности. Некоторые из них позволяют злоумышленнику запустить произвольный код на устройстве жертвы, другие - получить доступ к конфиденциальным данным или выдать себя за другого пользователя. Атаки требуют участия человека: чтобы сработала уязвимость, пострадавший должен открыть специально подготовленный файл или перейти по вредоносной ссылке.
Детали уязвимостей
Среди исправленных проблем - сразу несколько типов программных ошибок. В списке значатся переполнение буфера в куче, чтение за пределами выделенной памяти, использование после освобождения, десериализация недоверенных данных, путаница типов и другие. Все эти уязвимости в совокупности охватывают практически все основные приложения пакета Office.
Наибольшее количество критических брешей зафиксировано в Microsoft SharePoint Server. Для этой платформы корпорация выпустила исправления сразу для шести уязвимостей, пять из которых имеют оценку 8,8 по десятибалльной шкале CVSS. Речь идет о кодах CVE-2026-35439, CVE-2026-33110, CVE-2026-33112, CVE-2026-40357 и CVE-2026-40365 (CVE - Common Vulnerabilities and Exposures, общеизвестный идентификатор уязвимости). Еще одна уязвимость в SharePoint - CVE-2026-40368 - получила 8,0 балла. Все они позволяют удаленно выполнить произвольный код.
Не менее серьезная ситуация и в Microsoft Word. В редакторе документов найдено шесть уязвимостей. Четыре из них - CVE-2026-40364, CVE-2026-40366, CVE-2026-40361, CVE-2026-40367 - имеют оценку 8,4 и также дают возможность выполнить вредоносный код. Еще одна брешь с кодом CVE-2026-35440 (5,5 балла) угрожает утечкой данных, а CVE-2026-40421 (4,3 балла) - менее опасна, но тоже может привести к доступу к конфиденциальной информации.
В самом пакете Microsoft Office (базовые компоненты) исправлены три уязвимости. CVE-2026-40363 (8,4) и CVE-2026-40358 (8,4) позволяют удаленно выполнить код, а CVE-2026-40419 (7,8) дает злоумышленнику возможность повысить свои привилегии в системе. Для компонента Click-To-Run (технология потоковой установки Office) вышло три патча: CVE-2026-40418 (7,8) и CVE-2026-35436, CVE-2026-40420 с оценкой 8,8 - все они связаны с повышением привилегий.
Не обошли стороной и приложение Excel. Там устранены четыре уязвимости. CVE-2026-40359 и CVE-2026-40362 с оценкой 7,8 позволяют выполнить код, CVE-2026-40360 (7,8) угрожает доступу к данным, а CVE-2026-42832 (7,7) - подмене пользователя. В Microsoft PowerPoint найдена одна уязвимость CVE-2026-41102 (7,1), которая также позволяет выдать себя за другого пользователя.
В Microsoft Teams обнаружено две бреши. CVE-2026-32185 (5,5) приводит к подмене пользователя, а CVE-2026-33823 (9,6) - к доступу к конфиденциальным данным. Последняя, кстати, имеет наивысший балл среди всех перечисленных. Однако Microsoft отмечает, что она уже исправлена централизованно и не требует дополнительных действий от администраторов.
Уязвимости затронули и мобильные версии. Для Office for Android выпущено обновление, закрывающее CVE-2026-42831 (7,8, выполнение кода). Кроме того, проблемы найдены в M365 Copilot - интеллектуальном помощнике на основе искусственного интеллекта. Уязвимость CVE-2026-42893 с оценкой 7,4 позволяет злоумышленнику искажать данные. Хотя конкретная техника атаки пока не раскрыта, сам факт наличия такой бреши в AI-сервисе вызывает дополнительную озабоченность.
Все перечисленные уязвимости объединяет один вектор: для их эксплуатации злоумышленнику необходимо обманом заставить пользователя открыть вредоносный файл или перейти по ссылке. После этого уязвимость может сработать без дополнительных действий. В некоторых случаях атакующий может получить такой же уровень доступа, как и текущий пользователь. Значит, он сможет прочитать, изменить или удалить данные, установить программы или создать новые учетные записи.
Microsoft рекомендует всем пользователям и администраторам как можно скорее установить вышедшие обновления. Они доступны через механизм автоматического обновления, а также в каталоге Microsoft Update.
Стоит отметить, что в данном выпуске закрыты уязвимости для широкого спектра версий Office. Это Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, включая версии для macOS и мобильных платформ. Владельцам подписок Microsoft 365 обновления уже доставлены. Им достаточно проверить статус установки последних патчей через центр обновлений.
Таким образом, февральский пакет исправлений от Microsoft оказался одним из самых масштабных за последнее время. Пользователям Office стоит отнестись к нему серьезно. Даже одна уязвимость с высоким рейтингом опасности может привести к полной компрометации рабочей станции или сервера.
Ссылки
