Allerta Office: La falla CVE-2026-26110 colpisce l’anteprima dei file

Il mondo della cybersecurity è in fermento per la scoperta di una vulnerabilità critica che ridefinisce il concetto di “prudenza”. Non serve più cliccare su un allegato sospetto per essere infettati: con la nuova falla CVE-2026-26110, basta un’occhiata veloce nel file manager.

La minaccia: “Zero-Click” tramite Anteprima

La vulnerabilità, che ha ottenuto un punteggio di gravità CVSS di 8.4, risiede nel motore di rendering che gestisce l’anteprima dei documenti all’interno di Microsoft Office.

A differenza dei classici attacchi basati su macro, questa falla sfrutta il Preview Pane (Riquadro di anteprima) di Windows Explorer o del Finder su Mac. Quando il sistema tenta di generare una miniatura del file (Word, Excel o PowerPoint), un codice malevolo annidato nei metadati del documento viene eseguito automaticamente.

Perché è così pericolosa?

Nessuna interazione richiesta: L’utente non deve “aprire” il file. La semplice navigazione in una cartella contenente il file infetto può innescare il payload.

• Cross-platform: Anche se storicamente queste falle colpiscono Windows, la CVE-2026-26110 è stata confermata anche su macOS e versioni specifiche per Android.
• Esecuzione di codice remoto (RCE): Un attaccante può ottenere privilegi di sistema, installare spyware o esfiltrare dati sensibili.

Come proteggersi immediatamente

Non aspettare il prossimo ciclo di aggiornamenti automatici. Ecco i passi da seguire ora:

• Forza l’aggiornamento: Apri una qualunque app Office (es. Word), vai su File > Account > Opzioni di aggiornamento e clicca su Aggiorna ora.
• Disabilita il Riquadro di Anteprima: Se gestisci file di dubbia provenienza, disattiva temporaneamente l’anteprima dei file dalle impostazioni di visualizzazione del tuo sistema operativo.
• Attenzione ai file .docx e .xlsx esterni: Anche se il mittente sembra attendibile, la scansione dell’antivirus potrebbe non rilevare immediatamente questa specifica variante prima dell’aggiornamento della patch.

Nota tecnica:

La falla sembra essere collegata a una gestione errata della memoria (buffer overflow) durante l’elaborazione di oggetti OLE incorporati. Microsoft ha rilasciato una patch straordinaria che consigliamo di installare entro 24 ore.

Link Diretti:

NIST: https://nvd.nist.gov/vuln/detail/CVE-2026-26110

Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26110

Tenable: https://www.tenable.com/cve/CVE-2026-26110