Microsoft schliesst schwere Sicherheitslücke in Office mit Update
Microsoft hat eine schwere Sicherheitslücke im Office Paket geschlossen und ein Update bereitgestellt, das den Angriffen entgegenwirkt.
Ein neues Office-Zero-Day-Loch mit der Kennung CVE-2026-21509 erlaubt es Angreifern, interne Sicherheitsmechanismen zu umgehen. Schadcode kann ausgeführt werden, sobald Nutzer manipulierte Dateien öffnen, wie das «TechRadar» berichtet.
Microsoft stuft die Schwachstelle laut «Hacker News» als hoch ein. Die Lücke geht auf die unsichere Verarbeitung von eingebetteten Objekten in Dokumenten zurück, wodurch Sicherheitskontrollen umgangen werden konnten.
Viele Nutzer und IT-Abteilungen sahen sich gezwungen, sofort zu reagieren. Die Lücke wurde bereits aktiv ausgenutzt, berichtet das «InfoSecurity Magazine»
CISA setzt Frist: Microsoft reagiert mit Notfallupdate für Office
Microsoft hat darauf mit einem sogenannten Out-of-Band-Update reagiert, also einem ausserhalb des regulären Patch Tuesday veröffentlichten Notfallpatch. Diese Updates stehen für verschiedene Office Versionen zum Download bereit, erklärt «Notebookcheck».
Laut «Cybernews» müssen Anwender von Office 2016 und Office 2019 die Patches manuell installieren. Neuere Versionen wie Microsoft 365 sind durch serverseitige Änderungen geschützt, sobald die Apps neu gestartet werden.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle in ihre Liste bekannter ausgenutzter Sicherheitslücken aufgenommen. Laut «Purple Ops» setzt die Behörde eine Frist bis zum 16. Februar 2026, um die Updates in staatlichen Einrichtungen einzuspielen.
Auch ältere Office Versionen betroffen: Update schliesst Angriffspfad
Betroffen sind nicht nur die aktuellen Office-Versionen, sondern auch Office 2016, Office 2019 sowie verschiedene LTSC-Varianten. Einige dieser älteren Versionen haben bereits ihr Supportende erreicht, wie aus einer Übersicht hervorgeht.
Die Patches beheben eine Schwachstelle in Office. Angreifer konnten zuvor speziell gestaltete Dateien nutzen, um Schutzmechanismen wie Object Linking und Embedding zu umgehen.
Nach dem Update müssen Administratoren und Nutzer ihre Systeme neu starten. Zudem sollten sie sicherstellen, dass die aktuellsten Updates eingespielt sind, um weitere Risiken zu begrenzen, empfiehlt «WinBuzzer».
