Eine kritische Schwachstelle in Microsoft Office wird bereits aktiv von Angreifern ausgenutzt. Der Konzern reagiert mit einem außerplanmäßigen Update. Doch nicht alle Nutzer erhalten den Schutz.
Microsoft hat am Montag ein Notfall-Update für sein Büropaket Office sowie den Dienst Microsoft 365 veröffentlicht. Der Konzern reagiert damit auf eine Sicherheitslücke, die Kriminelle bereits aktiv für Angriffe nutzen. Wie das IT-Portal heise.de berichtet, genügt es, wenn Nutzer eine manipulierte Office-Datei öffnen, um den Angriff auszulösen.
Die Schwachstelle ermöglicht es Angreifern offenbar, Sicherheitsmechanismen zu umgehen, die eigentlich die Ausführung schädlicher OLE- (Objekt-Verknüpfung und -Einbettung) und COM-Komponenten (Component Object Model) verhindern soll. Der Datenkonzern hält sich mit technischen Details bislang zurück, stuft das Risiko der Lücke (CVE-2026-21509) mit einem Wert von 7.8 jedoch als "hoch" ein.
Neustart der Programme oft ausreichend
Betroffen sind die "Microsoft 365 Apps for Enterprise" sowie diverse Kauf-Versionen von Office: 2016 (Version 16.0.0 bis vor 16.0.5539.1001), 2019 (16.0.0 bis vor 16.0.10417.20095) sowie die Langzeit-Versionen LTSC 2021 und 2024.
Für Nutzer der neueren Versionen Office 2021 und 2024 spielt Microsoft das Update serverseitig ein. Anwender müssen ihre Programme lediglich komplett neu starten, damit der Schutz greift. Dies gilt laut heise.de voraussichtlich auch für die Cloud-Variante Microsoft 365 Apps for Enterprise, auch wenn Microsoft hierzu die offizielle Webseite noch nicht aktualisiert hat.
Keine Rettung für ältere Einzelhandels-Versionen
Komplizierter ist die Lage bei älteren Versionen. Für lokal installierte Ausgaben von Office 2016 steht das Update KB5002713 bereit. Nutzer von Office 2019 mit Großhandelslizenzen (Volumenlizenzen) erhalten ebenfalls eine Aktualisierung auf die Version 1808 (Build 10417.20095), obwohl der offizielle Support hierfür bereits ausgelaufen ist. Alternativ können versierte Windows-Nutzer in diesen Fällen die System-Registry manuell bearbeiten, um die Lücke zu schließen.
Schlechte Nachrichten gibt es hingegen für Kunden, die Office 2016 C2R ("Click-to-Run") oder Office 2019 im regulären Einzelhandel erworben haben. Da Microsoft die Unterstützung für diese Produkte Mitte Oktober 2025 eingestellt hat, stellt der Konzern hierfür kein Update mehr bereit. Diese Nutzer bleiben ungeschützt.
Parallel zu den Office-Korrekturen hat Microsoft am Wochenende auch ungeplante Updates für das Betriebssystem Windows nachgereicht. Diese beheben Fehler vorangegangener Patches und aktualisieren Boot-Zertifikate. fre