El Patch Tuesday de Microsoft del 12 de maig de 2026 va portar pegats per a quatre vulnerabilitats d’execució remota de codi a Word: CVE-2026-40361, CVE-2026-40364, CVE-2026-40366 i CVE-2026-40367. Totes quatre tenen el mateix CVSS, 8.4, i comparteixen un detall que les fa més perilloses del que sembla a primera vista: el tauler de previsualització de Windows funciona com a vector d’atac.
Què vol dir que el Preview Pane sigui vector
Quan selecciones un fitxer a l’Explorador de Windows o mires un correu a l’Outlook, el tauler de previsualització renderitza el contingut del document sense que l’obris. Per a un error de Word que es dispara en processar un document manipulat, això treu un pas de l’atac. La víctima no ha de fer doble clic ni prémer “habilita l’edició”. N’hi ha prou que el fitxer maliciós passi pel davant de la previsualització perquè el codi de l’atacant tingui ocasió d’executar-se.
Tot i així, l’atac depèn que el document arribi a la màquina. Microsoft classifica el vector com a enginyeria social: un correu amb adjunt, un fitxer compartit, una descàrrega. No és un cuc que es propagui sol per la xarxa.
Gravetat i probabilitat d’explotació
Microsoft va etiquetar CVE-2026-40361 i CVE-2026-40364 com a “Exploitation More Likely” al seu índex d’explotabilitat. És la valoració que reserva per a errors el patró dels quals resulta atractiu i tècnicament abordable per a qui construeixi un exploit. Les altres dues, CVE-2026-40366 i CVE-2026-40367, van quedar en una probabilitat menor.
Microsoft qualifica el conjunt de crític. L’execució de codi es produeix amb els privilegis de l’usuari que té Word obert, així que el dany real depèn del compte amb què treballi la víctima. En un lloc de treball amb usuari administrador, l’abast és total.
A qui afecta i què fer
El producte afectat és Microsoft Word en les seves diferents edicions d’escriptori dins del paquet Office. Microsoft no va detallar números de versió concrets a l’avís, més enllà d’identificar el producte.
L’acció és directa: instal·la les actualitzacions de seguretat de maig de 2026 des de Windows Update o des del canal d’actualització de Microsoft 365 / Office. Si gestiones un parc d’equips, prioritza aquests pegats, perquè dos dels quatre errors estan marcats com a més probables d’explotar i el tauler de previsualització treu l’última barrera d’interacció de l’usuari.
Mentre desplegues els pegats, hi ha una mesura que redueix l’exposició: desactivar el tauler de previsualització a l’Explorador i a l’Outlook per als adjunts d’Office. No substitueix el pegat, però talla el camí més còmode de l’atacant. I la higiene habitual continua valent: desconfia de documents Word no sol·licitats, sobretot si arriben per correu de remitents externs.
Si fas servir Linux i obres aquests fitxers amb LibreOffice o OnlyOffice en lloc de Word, aquest error concret no t’afecta, perquè viu dins del codi del mateix Microsoft Word. Val la pena recordar-ho en entorns mixtos on conviuen Windows i estacions Linux.
Font
- Tenable, anàlisi del Patch Tuesday de maig de 2026: https://www.tenable.com/blog/microsofts-may-2026-patch-tuesday-addresses-118-cves-cve-2026-41103
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-40361