Η Microsoft κυκλοφόρησε 83 ενημερώσεις κώδικα ασφαλείας την Τρίτη, συμπεριλαμβανομένης μιας κρίσιμης ευπάθειας του Excel που οπλίζει τον Copilot Agent για μια επίθεση αποκάλυψης πληροφοριών μηδενικού κλικ.
Αυτή η ενημέρωση είναι μικρότερη από την κυκλοφορία του προηγούμενου μήνα, η οποία αντιμετώπιζε έξι ευπάθειες zero-day που είχαν εκμεταλλευτεί ενεργά. Κανένα από τα 83 νέα κοινά ευπάθεια και εκθέσεις (CVE) που παρατίθενται σε αυτήν την έκδοση δεν είναι επί του παρόντος υπό ενεργή εκμετάλλευση.
Το CVE-2026-26144 είναι ένα θέμα ευπάθειας αποκάλυψης πληροφοριών κρίσιμης σοβαρότητας στο Microsoft Excel. Το ελάττωμα δέσμης ενεργειών μεταξύ τοποθεσιών επιτρέπει σε έναν εισβολέα να αναγκάσει τον Copilot Agent να διεισδύσει δεδομένα μέσω ακούσιας εξόδου δικτύου. Η Microsoft δήλωσε ότι αυτή η ευπάθεια επιτρέπει μια επίθεση μηδενικού κλικ χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Ο Dustin Childs, επικεφαλής κυνηγός σφαλμάτων στο Zero Day Initiative, περιέγραψε το ελάττωμα ως «συναρπαστικό». Ο Childs σημείωσε ότι αυτό το σενάριο επίθεσης είναι πιθανό να γίνει πιο κοινό.
Ο Alex Vovk, Διευθύνων Σύμβουλος και συνιδρυτής του Action1, τόνισε τη σοβαρότητα αυτής της ευπάθειας στις εταιρικές ρυθμίσεις. “Τα τρωτά σημεία αποκάλυψης πληροφοριών είναι ιδιαίτερα επικίνδυνα σε εταιρικά περιβάλλοντα όπου τα αρχεία Excel συχνά περιέχουν οικονομικά δεδομένα, πνευματική ιδιοκτησία ή λειτουργικά αρχεία”, δήλωσε ο Vovk. Ο Vovk πρόσθεσε ότι οι επιτιθέμενοι μπορούσαν να εξαγάγουν σιωπηλά εμπιστευτικές πληροφορίες χωρίς να ενεργοποιούν προφανείς ειδοποιήσεις.
Δύο επιπλέον κρίσιμα CVE, τα CVE-2026-26110 και CVE-2026-26113, είναι σφάλματα εκτέλεσης απομακρυσμένου κώδικα του Office. Αυτά τα ελαττώματα ενεργοποιούνται μέσω του παραθύρου προεπισκόπησης, που σημαίνει ότι ένας χρήστης δεν χρειάζεται να ανοίξει πλήρως ένα κακόβουλο αρχείο για εκμετάλλευση.
Το CVE-2026-26110 είναι ένα ελάττωμα σύγχυσης τύπου στο Microsoft Office. Το CVE-2026-26113 προκαλείται από ένα μη αξιόπιστο ελάττωμα αποαναφοράς δείκτη στο Microsoft Office. Ο Jack Bicer, διευθυντής έρευνας ευπάθειας στο Action1, δήλωσε ότι όταν μια απλή προεπισκόπηση εγγράφου ενεργοποιεί την εκτέλεση κώδικα, οι εισβολείς αποκτούν μια πόρτα απευθείας στο σύστημα.
Δύο CVE είναι δημοσίως γνωστά αλλά δεν αποτελούν αντικείμενο εκμετάλλευσης τη στιγμή της αποκάλυψης. Το CVE-2026-26127 είναι ένα ζήτημα ανάγνωσης εκτός ορίων στο .NET που επιτρέπει μια άρνηση υπηρεσίας βάσει δικτύου. Η Microsoft θεωρεί απίθανη την εκμετάλλευση αυτού του ελαττώματος.
Το CVE-2026-21262 είναι μια ακατάλληλη ευπάθεια ελέγχου πρόσβασης στον SQL Server που επιτρέπει σε έναν εξουσιοδοτημένο εισβολέα να αυξήσει τα δικαιώματα σε ένα δίκτυο. Η Microsoft δήλωσε ότι αυτή η ευπάθεια είναι «λιγότερο πιθανό» να γίνει αντικείμενο εκμετάλλευσης στην άγρια φύση.
VIA: DataConomy.com
