-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : ZeroDay kwetsbaarheid verholpen in Microsoft Office
Advisory ID     : NCSC-2026-0039
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2026-21509
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Reliance on Untrusted Inputs in a Security Decision
Uitgiftedatum   : 20260127
Toepassing      : Microsoft Microsoft 365 Apps for Enterprise
                  Microsoft Microsoft 365 Apps for Enterprise for 32-bit
                  Systems
                  Microsoft Microsoft 365 Apps for Enterprise for 64-bit
                  Systems
                  Microsoft Microsoft Office 2016
                  Microsoft Microsoft Office 2016 (32-bit edition)
                  Microsoft Microsoft Office 2016 (64-bit edition)
                  Microsoft Microsoft Office 2019
                  Microsoft Microsoft Office 2019 for 32-bit editions
                  Microsoft Microsoft Office 2019 for 64-bit editions
                  Microsoft Microsoft Office LTSC 2021
                  Microsoft Microsoft Office LTSC 2021 for 32-bit
                  editions
                  Microsoft Microsoft Office LTSC 2021 for 64-bit
                  editions
                  Microsoft Microsoft Office LTSC 2024
                  Microsoft Microsoft Office LTSC 2024 for 32-bit
                  editions
                  Microsoft Microsoft Office LTSC 2024 for 64-bit
                  editions
                  Microsoft Office
Versie(s)       :
Platform(s)     :

Beschrijving
   Microsoft heeft een ZeroDay kwetsbaarheid verholpen in Microsoft
   Office.

   De kwetsbaarheid bevindt zich in de wijze waarop Microsoft Office
   omgaat met onbetrouwbare invoer, wat aanvallers in staat stelt om
   beveiligingsfuncties lokaal te omzeilen. Dit kan de integriteit van
   beveiligingsbeslissingen die door de software worden genomen,
   beïnvloeden. De afhankelijkheid van onbetrouwbare invoer creëert een
   pad voor potentiële exploitatie, wat kan leiden tot ongeautoriseerde
   toegang of acties binnen de getroffen systemen.
   Voor succesvol misbruik moet de kwaadwillende lokale toegang tot het
   kwetsbare systeem hebben. Dit kan ook mogelijk worden verwezenlijkt
   door het slachtoffer te misleiden een malafide document te openen.
   Microsoft geeft aan op de hoogte te zijn dat exploitcode gedeeld
   wordt. De exploitcode is (nog) niet publiek beschikbaar. Het
   Amerikaanse CISA heeft de kwetsbaarheid op de Known Exploited
   Vulnerabilities-lijst geplaatst, wat inhoudt dat misbruik van de
   kwetsbaarheid is bevestigd bij een Amerikaanse Federale overheids-
   organisatie.

Mogelijke oplossingen
   Microsoft heeft updates uitgebracht om de kwetsbaarheid te verhelpen
   voor Office 2021. Voor Office 2016 en 2019 zijn (nog) geen updates
   beschikbaar, maar deze worden zeer spoedig verwacht. Wel zijn er
   mitigerende maatregelen beschikbaar om het risico van misbruik zoveel
   mogelijk te beperken. Zie bijgevoegde referenties voor meer
   informatie.

   Referenties:
      Reference
      https://msrc.microsoft.com/update-
      guide/vulnerability/CVE-2026-21509

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAml4aPwACgkQgupWoL0Z
hGGEPgv9E7ZsoHQaM4cckV1Mcf9otGsjc4UdxpAQh8N+Us/08Kh/TQgqJIqcnsFE
htaR+NP6GoY+jrVfG9Js1SOVD14NG5XRUHYhHrCgii4cYBRmWbmkqx4bWr/sKN/P
a7odBYJGT4l2lCne0sFHTAoRkfugjNmtjHbgRs8E9fQ5INw9BuIQI3oIxIGcRjur
fjg3LE7Z2zkxbGVA7AilSa8hOB9tYn+Z2FOxEY9nfa1EUJij0Pbn8TL6cWPg31S/
1pjRtDAvJwFe96N7NwRYnFgRTJdKq94ED4tC6gVTR9ij6HABBiuMDBc1gn3RtTDs
o/Humqimx1hXjsaaZi/VAJFUvtundvoqxzCEebKJd1p7mjgBjLwQl3mHOBFG/CfP
nNLRNT9KkU4ZBzPlIMkVrtp7PsWa6MKw9KPLmVWqUxUhWpBw/XLmHcOVdGFl4lbj
NRcd2k0WaMb7HHpDx+1G3yGNaN8UCZgdJqVKi6M7tvZmcKI4AkNFnQXLE1ZYE2g7
PISigEeP
=tIhE
-----END PGP SIGNATURE-----