Microsoft heeft een kwetsbaarheid in Office en Word gedicht die aanvallers actief hebben gebruikt om systemen mee aan te vallen voordat er een update beschikbaar was. Het gaat in dit geval om een zogeheten zeroday-lek. Door het openen van een kwaadaardig bestand had een aanvaller, afhankelijk van de rechten van de ingelogde gebruiker, volledige controle over het systeem kunnen krijgen.

De kwetsbaarheid was aanwezig in Microsoft Office 2007, 2010, 2013 en 2016, alsmede Word 2007, 2010, 2013 en 2016. Meer details over de aanvallen worden niet door Microsoft gegeven. Ook is er een spoofinglek in Office voor Mac gepatcht dat al voor het verschijnen bekend was, maar volgens Microsoft niet is aangevallen. De updates om de beveiligingslekken te verhelpen zijn onderdeel van de tweede "patchdinsdag" van Microsoft deze maand. Vanwege de Spectre- en Meltdown-aanvallen kwam Microsoft vorige week al met beveiligingsupdates voor Windows, Internet Explorer en Edge.

Gisterenavond zijn er patches voor Office, Word, Excel, Outlook, SharePoint, .NET Framework, .NET Core 2.0 en ASP.NET Core 2.0 verschenen. De updates verhelpen in totaal 23 kwetsbaarheden. Ook heeft Microsoft de embedded Flash Player in Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 gepatcht. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.