El Patch Tuesday de gener de 2026 va deixar una de les vulnerabilitats més perilloses del mes per a qui fa servir Microsoft Office: la CVE-2026-20953, una fallada d’execució remota de codi (RCE) qualificada com a crítica amb una puntuació CVSS de 8.4. El que més espanta no és la gravetat, sinó per on entra: el tauler de previsualització (Preview Pane).
Què és la vulnerabilitat
La CVE-2026-20953 permet executar codi de manera remota a Microsoft Office. Un atacant prepara un document d’Office manipulat i el fa arribar a la víctima amb una mica d’enginyeria social: un correu, un missatge, una descàrrega. Quan Office processa aquest document, l’atacant pot executar codi arbitrari amb els privilegis de l’usuari que el va obrir.
Aquí ve el punt que fa mal: el tauler de previsualització funciona com a vector d’atac. L’explotació no necessita que la víctima obri el fitxer. N’hi ha prou que el document aparegui a la previsualització d’aplicacions com l’Outlook o l’Explorador de fitxers de Windows perquè el codi maliciós s’activi. Amb això, la interacció que es demana a l’usuari es redueix gairebé a zero, i amb ella la barrera perquè l’atac surti bé.
I no ve sola. La seva bessona, la CVE-2026-20952, comparteix exactament el mateix: idèntica puntuació CVSS de 8.4, idèntica qualificació crítica i el mateix vector a través del tauler de previsualització. Totes dues són entre les sis vulnerabilitats RCE crítiques corregides en aquest Patch Tuesday.
A qui afecta
Afecta instal·lacions de Microsoft Office, que és a tot arreu, tant a empreses com a casa, sobre Windows. Si reps documents de fonts que no controles, ja ets dins del rang de risc, i encara més si el teu client de correu té el tauler de previsualització activat. Office està tan estès que la superfície d’exposició és enorme.
Gravetat
Microsoft va etiquetar l’explotació com a “menys probable” (Exploitation Less Likely), però aquesta nota es queda curta quan mires el vector real. Un RCE crític que s’activa des del tauler de previsualització, sense obrir el fitxer, s’ha de tractar com a prioritat número u. Executar codi amb els privilegis de l’usuari sol ser el primer pas cap al compromís complet de l’equip.
Mitigació i pegat
El principal i definitiu és aplicar les actualitzacions de seguretat de Microsoft del Patch Tuesday de gener de 2026 mitjançant Windows Update o els canals de desplegament corporatius (WSUS, Intune, etc.). Mentre el pegat no estigui posat, convé:
- Desactivar el tauler de previsualització a l’Outlook i a l’Explorador de fitxers de Windows.
- Obrir documents que no són de confiança en Vista Protegida.
- Estrènyer el filtratge de correu i la conscienciació davant adjunts sospitosos.
Si portes servidors o estacions de treball i vols endurir el sistema més enllà del pegat, et pot anar bé el nostre article sobre SELinux i AppArmor, amb controls d’accés obligatoris a Linux. I si administres un parc mixt, fes una ullada també a la fitxa de Windows Desktop.