El Patch Tuesday de febrer de 2026 va portar la correcció de CVE-2026-21514, una falla de bypass de funció de seguretat a Microsoft Word que ja s’estava explotant com a zero-day. Per acabar-ho d’adobar, s’havia fet pública abans que existís cap pegat. Microsoft l’etiqueta com a “Important” i li posa una puntuació CVSS 7.8.
Què és la vulnerabilitat
La falla deixa que un atacant se salti les mitigacions d’OLE (Object Linking and Embedding), pensades per protegir-te davant de controls COM/OLE vulnerables, i de passada els avisos de Mark-of-the-Web (MotW). Al fons hi ha una validació incorrecta de decisions de seguretat a partir d’entrades no confiables (CWE-807): si manipules l’estructura XML interna d’un document de Word preparat, l’aplicació acaba tractant com a “de confiança” un objecte OLE maliciós.
I què passa? Que el contingut s’executa sense mostrar els avisos habituals: ni el bàner “Habilitar contingut” ni la pantalla de Vista protegida. Un document que sembla inofensiu es converteix així en un vehicle per lliurar programari maliciós sense que a l’usuari li salti cap alarma.
A qui afecta
Afecta instal·lacions de Microsoft Word dins de Microsoft 365 i Office, tant a Windows com a macOS. És una falla del costat del client i necessita interacció de l’usuari. El més normal és que la víctima rebi un fitxer d’Office maliciós (per correu, missatgeria o descàrrega) i l’obri. No és res que s’exploti en remot i en silenci sense que toquis res, però aquí hi ha el problema: anul·la les salvaguardes que en condicions normals t’avisarien.
Gravetat
Amb CVSS 7.8 entra en severitat alta. La urgència puja per dos motius. Es va confirmar explotació activa en estat salvatge i, a sobre, hi va haver divulgació pública abans del pegat, cosa que dona més marge als atacants oportunistes. CISA va incloure la falla en les seves directrius i va fixar el 3 de març de 2026 com a data límit de mitigació per a les agències federals.
Per si sola és un bypass de protecció, no una execució directa de codi amb privilegis màxims. Però dins d’una cadena d’atac serveix per desactivar les barreres que separen l’usuari d’executar contingut que controla l’atacant, cosa que aplana el camí per deixar anar programari maliciós i mantenir l’accés.
Mitigació i pegat
La solució passa per aplicar les actualitzacions de seguretat de febrer de 2026:
- A Windows, les correccions arriben via Click-to-Run de Microsoft 365 / Office. Deixa Office en actualització automàtica.
- A macOS, actualitza a la versió 16.106.26020821 o posterior.
Com a mesures extra: desconfia de documents d’Office que no esperaves, mantén la Vista protegida activada, no obris adjunts de remitents desconeguts i aplica polítiques que bloquegin macros i objectes OLE en documents que vinguin d’Internet.
El cas deixa clar que les proteccions d’Office no són infal·libles. Les mitigacions OLE i MotW són una capa més, no un substitut de mantenir-ho tot al dia i d’anar amb cap.
Font
- BleepingComputer: Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws
- NVD - NIST: CVE-2026-21514