[TLP:CLEAR] Microsoft Windows opravuje vysoce závažnou zranitelnost
Microsoft v rámci svého Patch Tuesday vydal opravy pro vysoce závažnou zranitelnost nacházející se ve frameworku MSHTML [1]. Tato zranitelnost mohla být podle nových zjištění Akamai zneužita státem podporovaným aktérem napojeným na Rusko známým jako APT28 [2]. Zranitelnost byla zařazena do katalogu známých zneužívaných zranitelností agentury CISA [3].
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci cílové URL v logice navigace odkazů v MSHTML Framework (ieframe.dll) umožněno obejít ochranné bezpečnostní mechanismy (MotW/IE ESC) a přes ShellExecuteExW potenciálně spustit libovolný kód mimo sandbox [1][2].
Zranitelnost se nachází v produktu Microsoft Windows.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-21513 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-693: Protection Mechanism Failure at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 2. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 3. 3. 2026.
