Zero-Day-Lücke in Microsoft Office: Notfall-Update verfügbar

Microsoft hat ein Notfall-Update für verschiedene Versionen von Microsoft Office bereitgestellt, um eine kritische Sicherheitslücke zu schließen. Diese Lücke, die als CVE-2026-21509 bekannt ist, ermöglicht es Angreifern, Sicherheitsmaßnahmen zu umgehen. Betroffen sind sowohl Microsoft 365 als auch die Office-Versionen 2016 und 2019. Ein Update ist notwendig, um den Schutz vor dieser Schwachstelle zu gewährleisten.

Die Sicherheitslücke CVE-2026-21509 ermöglicht es Angreifern, Sicherheitsmaßahmen zu umgehen, die eigentlich die Ausführung schädlicher OLE- und COM-Steuerelemente verhindern sollen. Angreifer können diese Schwachstelle ausnutzen, indem sie Nutzer dazu bringen, eine bösartig modifizierte Office-Datei zu öffnen. Nähere Details nennt Microsoft nicht, wohl auch, weil die Lücke bereits aktiv ausgenutzt wird. Microsoft hat die Schwachstelle mit einem CVE-Wert von 7.8 als "hoch" eingestuft.

Für Office 2021 und neuere Versionen wird die Sicherheitslücke durch eine serverseitige Änderung behoben, die einen Neustart der Office-Anwendungen erfordert. Für ältere Versionen wie Office 2016 und 2019, die keine reguläre Unterstützung mehr erhalten, hat Microsoft dennoch Updates bereitgestellt. Diese Updates sind für Unternehmenskunden mit Volumenlizenzen verfügbar.

Für lokal installierte Versionen von Office 2016 gibt es das Update KB5002713, das das vorherige Update KB5002522 ersetzt. Falls das Einspielen des Updates nicht möglich ist, bietet Microsoft einen Workaround über die Windows-Registry an, um die Ausnutzung der Schwachstelle zu verhindern. Dieser Workaround ist besonders für Nutzer älterer Office-Versionen relevant, die keine automatischen Updates mehr erhalten.