Datenschutz & Sicherheit
Notfall-Update gegen Zeroday in Microsoft Office
Microsoft hat am Montag ein Notfall-Update für Microsoft 365 und mehrere Office-Versionen herausgegeben. Die zugrundeliegende Sicherheitslücke wird bereits aktiv ausgenutzt. Es reicht, wenn das Opfer eine entsprechend manipulierte Office-Datei öffnet, um den Angriff zum Erfolg werden zu lassen. Offenbar ist es damit möglich, Sicherheitsmaßnamen zu umgehen, die die Ausführung schädlicher OLE- (Objekt-Verknüpfung und -Einbettung) und COM-Komponenten (Component Object Model) verhindern sollen.
Weiterlesen nach der Anzeige
Nähere Details verrät der Datenkonzern in seinen Mitteilungen bislang nicht. Die Sicherheitslücke ist als CVE-2026-21509 verzeichnet und mit einem CVE-Wert von 7.8 als „hoch“ eingestuft. Betroffen sind Microsoft 365 Apps for Enterprise sowie die Office-Versionen 2016 (Version 16.0.0 bis vor 16.0.5539.1001), 2019 (16.0.0 bis vor 16.0.10417.20095), LTSC 2021 und LTSC 2024, jeweils die Varianten für 32 Bit und 64 Bit.
Was zu tun ist
Das Update für Office 2021 und 2024 wird serverseitig eingespielt; Anwender müssen lediglich ihre Office-Anwendungen komplett neu starten, um den Schutz zu erhalten. Das muss wohl auch für Microsoft 365 Apps for Enterprise gelten; Microsoft hat sich bislang dazu nicht geäußert, die einschlägige Webpage ist noch nicht aktualisiert.
Für mit Großhandelslizenzen installierte Office 2019, wie zum Beispiel Office Professional Plus 2019, ist die Unterstützung zwar ausgelaufen, doch hat der Softwarekonzern dennoch ein Update aufgelegt. Um die Sicherheitslücke zu schließen, gilt es, auf Version 1808 Build 10417.20095 upzugraden. Für lokal installierte Office 2016 gibt es das Update KB5002713, welches das Update KB5002522 vom 13. Februar 2024 ersetzt. Alternativ können Windows-Benutzer in den beiden letztgenannten Fällen die System-Registry manuell bearbeiten.
Für im Einzelhandel erworbene Ausgaben von Office 2016 C2R (click to run) und Microsoft Office 2019 gibt es kein Update. Microsoft hat die Unterstützung Mitte Oktober 2025 eingestellt und bleibt auch dabei.
Am Wochenende hat Microsoft ungeplante Windows-Updates nachgelegt. Sie korrigieren Fehler der jüngsten fahrplanmäßigen Patches und bringen neue Boot-Zertifikate.
Weiterlesen nach der Anzeige
(ds)