Microsoft har fått bråttom att släppa en akut patch till Office. Antagonister på internet utnyttjar just nu en möjlighet att ta sig förbi säkerhets-inställningar kopplade till OLE/COM. Jag gissar på att det är möjligt att på något sätt ladda in externa objekt utan att få en varning. CVSS-poängen är 7.8/10, vilket innebär hög allvarlighetsgrad. Så här skriver Microsoft själva:

This update addresses a vulnerability that bypasses OLE mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable COM/OLE controls

Sårbarheten har lagts till i CISA:s ”Known Exploited Vulnerabilities”-lista, vilket betyder att amerikanska myndigheter måste tillämpa patcherna senast den 16 februari 2026. Och den har identifierats av Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) och Office Product Group Security Team.

Det finns en temporär fix som innebär att man måste ändra några registernycklar. Annars så rekommenderas en uppgradering av Microsoft Office till:

• Microsoft Office 2019 (32-bit edition) – 16.0.10417.20095
• Microsoft Office 2019 (64-bit edition) – 16.0.10417.20095
• Microsoft Office 2016 (32-bit edition) – 16.0.5539.1001
• Microsoft Office 2016 (64-bit edition) – 16.0.5539.1001

Mer information om CVE-2026-21509 hittas hos Microsoft här.