Microsoft verwacht misbruik van kritiek zero-click beveiligingslek in Outlook

In dit artikel:

Microsoft waarschuwt voor een kritieke zero-click-kwetsbaarheid in de Outlook-weergave-engine (CVE-2026-40361) waarmee aanvallers via het simpelweg openen of previewen van een e-mail code op een systeem kunnen uitvoeren. Het lek, een "use after free"-fout, werd ontdekt door beveiligingsonderzoeker Haifei Li en zij benadrukt op X dat "het klikken op links of bijlagen geen vereiste" is. Microsoft bracht afgelopen dinsdag patches uit en zegt dat misbruik van de fout waarschijnlijk is. Getroffen producten zijn onder andere Microsoft Word 2016, Office 2019, Microsoft 365 Apps for Enterprise en meerdere Office LTSC-versies (inclusief Mac). Omdat de kwetsbaarheid in de render-engine zit is blokkeren lastig; een mogelijke tussentijdse maatregel is e-mails alleen in plain text tonen. Organisaties wordt sterk aangeraden de updates direct te installeren om uitbuiting te voorkomen.