Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Microsoft bringt Notfallpatch: Office-Nutzer werden über Zero-Day-Lücke attackiert

Eine gefährliche Sicherheitslücke betrifft alle gängigen Office -Versionen. Angesichts der aktiven Ausnutzung sollten Anwender zügig patchen .
/ Marc Stöckel
3 Kommentare News folgen (öffnet im neuen Fenster)
Für Office-Nutzer wird es höchste Zeit zu patchen. (Bild: pixabay.com / geralt)
Für Office-Nutzer wird es höchste Zeit zu patchen. Bild: pixabay.com / geralt

Microsoft hat eine Warnung vor einer gefährlichen Sicherheitslücke herausgegeben, die mehrere gängige Office-Versionen betrifft. Es gibt nach Angaben des Konzerns bereits Hinweise auf eine aktive Ausnutzung der Lücke. Als anfällig gelten neben Microsoft 365 auch Microsoft Office 2016, 2019, 2021 LTSC und 2024 LTSC. Notfallupdates stehen zur Verfügung und sollten zeitnah installiert werden.

Die besagte Sicherheitslücke ist als CVE-2026-21509(öffnet im neuen Fenster) registriert und verfügt mit einem CVSS-Wert von 7,8 über einen hohen Schweregrad. Laut Microsoft können Angreifer durch Ausnutzung der Lücke lokale Sicherheitsbarrieren umgehen, die Anwender normalerweise vor gefährlichen COM/OLE-Steuerelementen(öffnet im neuen Fenster) schützen sollen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Senior Atlassian Administrator*in (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)
IT- Anwendungsbetreuer / Applications Manager (m/w/d) Bonn-Netz GmbH, Bonn (öffnet im neuen Fenster)
CX & Digital Product Manager (w/m/d) ADAC e.V., München (öffnet im neuen Fenster)
Berater (m/w/d) Transfergesellschaft & Outplacement PMB International GmbH, Gärtringen (öffnet im neuen Fenster)
Applications Consultant IT/HR (m/w/d) RENOLIT SE, Worms (öffnet im neuen Fenster)
Mitarbeiter IT-Support / IT Customer Support (m/w/d) Alarm IT Factory GmbH, Stuttgart (öffnet im neuen Fenster)
Anwendungsentwickler IT-Security / Kryptographie (m/w/d) Finanz Informatik GmbH & Co. KG, Münster,Hannover (öffnet im neuen Fenster)

Wie die beobachteten Angriffe im Detail ablaufen und welches Ziel die Angreifer dabei verfolgen, schildert Microsoft nicht. Der Konzern gibt lediglich an, dass Anwender für eine erfolgreiche Ausnutzung von CVE-2026-21509 dazu verleitet werden müssen, eine speziell präparierte Office-Datei zu öffnen. Die Angriffskomplexität ist laut Microsoft aber "gering" .

Patches sind verfügbar

Wer Office 2021 LTSC oder neuer verwendet, muss nichts weiter tun, um einen Patch zu erhalten. Microsoft konnte die Ursache für CVE-2026-21509 bei diesen Versionen durch eine serverseitige Änderung beheben. Zugehörige Office-Anwendungen müssen lediglich neu gestartet werden, damit der Patch wirksam wird.

Für Microsoft Office 2016 und 2019 gibt es hingegen Updates, die lokal installiert werden müssen. Im Falle von Office 2016 benötigen Anwender das Update KB5002713(öffnet im neuen Fenster) , welches sich beispielsweise über den Microsoft Update-Katalog(öffnet im neuen Fenster) herunterladen lässt. Office 2019 muss hingegen auf Version 1808 (Build 10417.20095)(öffnet im neuen Fenster) aktualisiert werden.

Wer Office 2016 oder 2019 (noch) nicht aktualisieren kann, findet in Microsofts Meldung(öffnet im neuen Fenster) zusätzlich ein paar Registrierungsschlüssel, die sich als alternativer Workaround anwenden lassen. Zuvor sollten allerdings alle Office-Anwendungen geschlossen und ein Back-up der Registry(öffnet im neuen Fenster) angelegt werden.

Zur Startseite 3 Kommentare

Relevante Themen

SoftwareToolsUnternehmenssoftwareSecuritySicherheitslückeUpdates & PatchesDatensicherheitOfficeMicrosoft 365