El Patch Tuesday de gener de 2026 de Microsoft va portar dues vulnerabilitats d’execució remota de codi (RCE) a Microsoft Excel que val la pena mirar de prop: CVE-2026-20957 i CVE-2026-20955. Totes dues entren en el grup de les sis RCE que Microsoft va marcar com a crítiques aquell mes, dins d’un butlletí que va despatxar més d’un centenar d’errors en total.
Què són aquestes vulnerabilitats
CVE-2026-20957 és un error de tipus integer underflow (subdesbordament d’enter) que acaba provocant un desbordament de memòria intermèdia basat en heap (CWE-122). Quan Excel processa un full de càlcul manipulat, una operació aritmètica amb enters dona un wraparound i corromp la memòria del programa. A partir d’aquí, un atacant pot fer-se amb el control del flux d’execució i executar codi arbitrari amb els privilegis de qui obre el document. La seva puntuació és CVSS 7.8 (alta), amb impacte alt en confidencialitat, integritat i disponibilitat.
CVE-2026-20955 és una desreferència de punter no fiable a Excel que també permet execució de codi local. El problema neix d’un maneig incorrecte de valors de punter en processar un document Excel dissenyat a propòsit, i això pot donar a l’atacant control sobre el flux del programa.
En tots dos casos el vector és local i necessita interacció: la víctima ha d’obrir un fitxer manipulat (.xlsx, .xlsm o formats heretats). El que sol passar aquí és l’enginyeria social, un correu o una descàrrega que cola el full de càlcul maliciós.
A qui afecta
Aquestes vulnerabilitats toquen Microsoft Office Excel, les aplicacions Excel de Microsoft 365 i les suites d’Office que inclouen Excel sobre Windows. Si obres fulls de càlcul que arriben de fonts externes, tant si ets usuari com organització, estàs dins del rang d’exposició. I encara que Excel sigui una aplicació de Windows, recorda que els fitxers d’Office també es processen en servidors i serveis com Office Online Server, que va rebre la seva pròpia actualització.
Gravetat
Microsoft va classificar els dos errors com a crítics dins del butlletí. El perillós és que un sol document obert per descuit ja n’hi ha prou per comprometre l’estació de treball de l’usuari i servir de porta d’entrada per a moviment lateral, robatori de credencials o desplegament de ransomware. En el moment del pedaç no constava explotació activa d’aquests dos CVE, al contrari que altres zero-days del mateix Patch Tuesday, però com que són RCE de memòria es converteixen en objectius llaminers.
Mitigació i pedaç
El primer és aplicar les actualitzacions de seguretat de gener de 2026 mitjançant Windows Update o els canals d’actualització de Microsoft 365 / Office. A més, val la pena:
- Mantenir al dia el client d’Office a tots els equips, no només el sistema operatiu.
- Desconfiar de fulls de càlcul que no esperaves i obrir els fitxers externs en Vista protegida.
- Bloquejar o restringir macros d’origen extern mitjançant directives.
- Aplicar el principi de mínim privilegi perquè un codi executat amb el compte de l’usuari faci el menor mal possible.
Si portes un parc d’equips, posa aquests pedaços amunt a la teva cua de desplegament: la classificació crítica ho justifica.