Schwachstellen
Office: Microsoft patcht kritische Lücke
Angriffe ohne Klick: Microsoft stopft mehrere Office-Lücken, die bereits beim reinen Vorschau-Anzeigen gefährlich werden und vom BSI als kritisch eingestuft sind.
Microsoft hat zum Juli-Patchday ein Paket mit 133 Updates veröffentlicht, darunter sechs Remote-Code-Execution-Schwachstellen (RCE) in Office, die einen CVSS-Grundwert von 8,4 erreichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer schnellen Ausnutzung und empfiehl...
Microsoft hat zum Juli-Patchday ein Paket mit 133 Updates veröffentlicht, darunter sechs Remote-Code-Execution-Schwachstellen (RCE) in Office, die einen CVSS-Grundwert von 8,4 erreichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer schnellen Ausnutzung und empfiehlt sofortiges Patchen.
Vier der sechs Lücken lassen sich bereits ausnutzen, wenn eine präparierte Datei im Windows-Explorer oder in Outlook nur markiert wird. Dazu genügt der Zugriff auf das Vorschau-Pane, sodass keine weitere Nutzeraktion erforderlich ist – ein klassischer „Zero-Click“-Angriff, der Phishing-Kampagnen begünstigt. Betroffen sind die Office-Pakete 2016, Microsoft 365 sowie Office LTCS 2021/2024 für macOS.
Das BSI stuft die Office-Lücken als IT-Bedrohungslage Gelb ein und vergleicht das Risiko mit früheren Outlook-Zero-Days: Wer nicht patcht, öffnet Angreifern Tür und Tor zur vollständigen Systemübernahme. Besonders Unternehmen mit automatisierten Dokumenten-Workflows sind gefährdet, weil Malware schon beim Indexieren starten kann.
Im kumulativen Patchday-Rollup KB5002742 schließt Microsoft gleich mehrere CVEs und korrigiert nebenbei Fehler aus dem Juni-Update. Für Excel, PowerPoint und Word existieren zusätzliche Patches (KB5002749, KB5002746, KB5002745), die separat installiert werden müssen.
