Notebookcheck Logo

Microsoft publica un parche fuera de banda para una vulnerabilidad de día cero de Microsoft Office explotada activamente

Pantalla de instalación de la actualización de seguridad de Windows 11 mostrando el progreso de la descarga (Fuente de la imagen: Pabitra Kaity de Pixabay)
Pantalla de instalación de la actualización de seguridad de Windows 11 mostrando el progreso de la descarga (Fuente de la imagen: Pabitra Kaity de Pixabay)
Microsoft ha publicado una actualización de seguridad fuera de banda para solucionar una vulnerabilidad de Microsoft Office explotada activamente y rastreada como CVE-2026-21509. El fallo permite a los atacantes eludir las protecciones de seguridad de Office a través de documentos maliciosos y ha sido añadido al catálogo de Vulnerabilidades Explotadas Conocidas de CISA.
Security Windows Software Desktop Laptop / Notebook

Microsoft ha publicado una actualización de seguridad fuera de banda para abordar una vulnerabilidad de día cero activamente explotada que afecta a Microsoft Office, añadiendo más presión a un ciclo de actualizaciones de enero de 2026 ya turbulento que también ha visto graves problemas de estabilidad en los sistemas Windows 11.

Rastreada como CVE-2026-21509, la vulnerabilidad está clasificada como una omisión de una característica de seguridad causada por "la dependencia de entradas no fiables en una decisión de seguridad en Microsoft Office", según el Centro de Respuesta de Seguridad de Microsoft. Una explotación exitosa permite a un atacante eludir localmente las protecciones de seguridad de Office, específicamente las mitigaciones OLE diseñadas para bloquear los controles COM y OLE vulnerables.

Microsoft ha asignado al fallo una puntuación CVSS v3.1 de 7,8 y ha confirmado que está siendo explotado in the wild. Aunque la empresa no ha revelado detalles técnicos sobre los ataques, señaló que la explotación requiere la interacción del usuario, ya que los atacantes necesitan convencer a las víctimas para que abran un archivo de Office especialmente diseñado. El panel de vista previa no es un vector de ataque.

Los sistemas que ejecutan Office 2021 y más recientes están protegidos automáticamente a través de un cambio del lado del servicio, aunque los usuarios deben reiniciar sus aplicaciones de Office para que la mitigación surta efecto. Los clientes de Office 2016 y Office 2019, sin embargo, no están protegidos hasta que instalen las últimas actualizaciones de seguridad. Microsoft también ha proporcionado una solución basada en el registro que puede aplicarse inmediatamente en los sistemas afectados para bloquear la explotación antes de aplicar los parches.

La vulnerabilidad se ha añadido al catálogo de Vulnerabilidades Explotadas Conocidas que mantiene la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, que está exigiendo a las agencias federales estadounidenses que apliquen las actualizaciones antes del 16 de febrero de 2026.

A principios de este mes La actualización de seguridad KB5074109 de Windows 11 estuvo vinculada a problemas de estabilidad generalizados e informes de fallos de arranque UNMOUNTABLE_BOOT_VOLUME en algunos sistemas, lo que subraya el estado cada vez más frágil de las recientes actualizaciones de Windows y Office.

Please share our article, every link counts!
Mail Logo

Artículos relacionados

> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 01 > Microsoft publica un parche fuera de banda para una vulnerabilidad de día cero de Microsoft Office explotada activamente
Praneeta, 2026-01-28 (Update: 2026-01-28)