Outlook-sårbarhet kör skadlig kod utan att du öppnar mailet
CVE-2026-26113 och CVE-2026-26110 tillåter kodexekvering bara genom att visa ett mail i förhandsgranskningsfönstret.
Två kritiska sårbarheter i Microsoft Office patchades i mars. CVE-2026-26113 och CVE-2026-26110 har båda CVSS 8.8 och tillåter fjärrkodexekvering genom Outlooks förhandsgranskningsfönster. Du behöver inte öppna bilagan. Du behöver inte klicka. Det räcker att mailet visas.
CVE-2026-26113 är en opålitlig pekar-dereferens. CVE-2026-26110 är en typförväxlingsbug. Båda orsakar minneskorruption i Office filparser som en angripare kan styra om till sin egen kod.
Varför det här är allvarligt
I en typisk svensk SMF-miljö med 15-30 användare sitter de flesta i Outlook hela dagen med förhandsgranskning aktiverat. En angripare behöver bara skicka ett mail — inte ens ett övertygande sådant. Förhandsvisningen triggar exploiten automatiskt.
Word, Excel, PowerPoint och Outlook påverkas alla. Har ni Defender for Office 365 med Safe Attachments aktiverat minskar risken, men patchen är den enda fullständiga lösningen.
Gör det här nu
- Rulla ut marsuppdateringarna via Intune. Verifiera att alla enheter har fått patchen
- Kontrollera att Safe Attachments är aktiverat i Defender for Office 365. Det skannar bilagor innan de visas
- Överväg att temporärt stänga av förhandsgranskning på enheter som saknar patchen
- Kolla Intune-compliance-rapporterna för enheter som inte uppdaterats
De här sårbarheterna är den typ av buggar som används i riktade attacker mot specifika företag. Preview Pane-vektorn gör tröskeln extremt låg.
Vi kollar er miljö
Vi erbjuder en akut patchverifiering (1-2 timmar) där vi kollar att era enheter är uppdaterade och att Defender-konfigurationen skyddar mot den här typen av attacker. Hör av er.
Källor: Krebs on Security, Zero Day Initiative