【要点】
◎悪用済みOfficeゼロデイCVE-2026-21509(CVSS7.8)を修正。LTSC/365はサービス側で対処済み、Office 2016/2019は更新提供で適用が必要 (マイナビニュース)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2026/01/26 | 2025/12/30 | CVE-2026-21509 | NVD | Microsoft | 7.8(Microsoft) |
CWE-807 | セキュリティ決定の信頼できない入力への依存 | 2026/01/26 | MS Office |
【要約】
Microsoftは2026年1月26日、悪用が確認されたOfficeの脆弱性CVE-2026-21509(信頼できない入力に依存し、細工ファイルでセキュリティ機能回避の恐れ、CVSS7.8・Important)を修正した。影響はOffice LTSC 2024/2021、Microsoft 365 Apps for Enterprise、Office 2019/2016。LTSC 2024/2021とM365 Appsはサービス側で対処済みで、アプリ再起動により保護される。Office 2016はKB5002713(ビルド16.0.5539.1001)、Office 2019はビルド16.0.10417.20095で修正され、Microsoft Update等で更新適用が推奨。CISAもKEVに登録しており優先度は高い。Office 2016/2019はEOLのため、製品アップグレードも望ましい。
【ニュース】
◆Microsoft Officeに悪用済みの脆弱性、更新プログラム提供開始 (マイナビニュース, 2026/01/28 13:10)
https://news.mynavi.jp/techplus/article/20260128-4048944/
【関連まとめ記事】
◆全体まとめ
◆アプリケーション (まとめ)
◆MS Office (まとめ)
◆CVE-2026-21509 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2026-21509
