Microsoft hat außerplanmäßige Sicherheitsupdates für Office veröffentlicht – ein deutliches Warnsignal. Grund dafür ist eine aktiv ausgenutzte Zero-Day-Schwachstelle (CVE-2026-21509), die es Angreifern ermöglicht, über manipulierte Office-Dateien Sicherheitsmechanismen zu umgehen.
Was ist passiert?
Die Schwachstelle wird bereits aktiv missbraucht. Betroffene Nutzer müssen lediglich eine präparierte Datei öffnen – weitere Interaktion ist nicht erforderlich. Dadurch können schädliche Verknüpfungen sowie eingebettete OLE- und COM-Objekte ausgeführt werden, obwohl diese eigentlich blockiert sein sollten.
Die Schwachstelle ist mit einem CVSS-Score von 7,8 als hoch kritisch eingestuft.
Wer ist betroffen?
– Office 2016 bis Office 2024
– Microsoft 365 (Business & Enterprise)
Eingeschränkt versorgt:
– Office 2016 & 2019 mit Volumenlizenz erhalten ausnahmsweise noch Sicherheitsupdates (manuelle Installation erforderlich).
Keine Updates:
– Office 2016 & 2019 aus dem Einzelhandel (Support endgültig beendet).
Unsere Empfehlung
– Die bereitgestellten Sicherheitsupdates sollten umgehend eingespielt werden.
Die Schwachstelle wird bereits aktiv ausgenutzt, weshalb ein Zuwarten das Risiko eines erfolgreichen Angriffs deutlich erhöht.
– Systeme mit nicht mehr unterstützten Office-Versionen sollten nicht internetfähig betrieben oder kurzfristig ersetzt werden.
– Alternativ empfehlen wir den Umstieg auf aktuell unterstützte Office-Versionen oder auf sichere Alternativen, um das Sicherheitsrisiko nachhaltig zu reduzieren.
Relevante Patches & Links
Patch für Office 2016 (Volumenlizenz)
Office 2019 Update History
Sprechen Sie uns an, wenn Sie unsicher sind, ob Ihre Systeme betroffen sind oder Unterstützung benötigen.