Vi viser til varsel sendt tidligere forrige uke om aktiv utnyttelse av MSHTML-sårbarhet CVE-2021-404441. Microsoft ga ut sikkerhetsoppdateringer 14. september som tilsynelatende adresserte denne sårbarheten.

20. september ble det publisert proof-of-concept-kode2 som skal kunne utnytte CVE-2021-40444, selv om systemet har sikkerhetsoppdateringen fra 14. september 3.

Å utnytte sårbarheten på denne måten krever at brukeren åpner et ondsinnet dokument i en forutsigbar filsti (for eksempel "Downloads").

NCSC er ikke kjent med at det eksisterer mitigeringer eller workarounds, og vil på generelt grunnlag anbefale at brukere utøver forsiktighet når det gjelder hva slags dokumenter de åpner.

Referanser:
1 Oppdatering til varsel om MSHTML-sårbarhet CVE-2021-40444 (2021-09-10)
2 https://github.com/Edubr2020/CVE-2021-40444--CABless
3 https://msrc.microsoft.com/update-guide/releaseNote/2021-Sep