Außerplanmäßige Updates veröffentlicht
Außerplanmäßige Updates veröffentlicht Microsoft nur in Ausnahmefällen – nämlich dann, wenn akuter Handlungsbedarf besteht. Genau das ist aktuell bei Microsoft Office und den Microsoft 365 Apps for Enterprise der Fall.
Am Montag hat Microsoft ein Notfall-Patch für mehrere Office-Versionen sowie Microsoft 365 bereitgestellt. Hintergrund ist eine Sicherheitslücke, die bereits aktiv von Angreifern ausgenutzt wird. Schon das Öffnen einer speziell präparierten Office-Datei kann ausreichen, um ein System zu kompromittieren. Nach bisherigen Erkenntnissen erlaubt die Schwachstelle das Umgehen von Schutzmechanismen, die eigentlich verhindern sollen, dass schädliche OLE- (Object Linking and Embedding) und COM-Komponenten (Component Object Model) ausgeführt werden.
Konkrete technische Details hält Microsoft bislang unter Verschluss. Die Schwachstelle wird unter der Kennung CVE-2026-21509 geführt und mit einem CVSS-Score von 7,8 als „hoch“ eingestuft. Betroffen sind Microsoft 365 Apps for Enterprise sowie Office 2016 (Versionen ab 16.0.0 bis vor 16.0.5539.1001), Office 2019 (bis vor 16.0.10417.20095) sowie Office LTSC 2021 und LTSC 2024 – jeweils in 32- und 64-Bit-Ausführung.
Empfohlene Maßnahmen
Bei Office 2021 und 2024 erfolgt die Absicherung automatisch über serverseitige Updates. Anwender müssen lediglich alle Office-Anwendungen vollständig schließen und neu starten, damit der Fix wirksam wird. Für Microsoft 365 Apps for Enterprise dürfte dasselbe gelten, auch wenn Microsoft dies bislang nicht explizit bestätigt hat – die zugehörige Informationsseite wurde noch nicht aktualisiert.
Für Office 2019 mit Volumenlizenz, etwa Office Professional Plus 2019, ist der reguläre Support zwar bereits ausgelaufen, dennoch stellt Microsoft ein Sicherheitsupdate zur Verfügung. Um die Lücke zu schließen, muss auf Version 1808 (Build 10417.20095) aktualisiert werden. Nutzer von lokal installierten Office-2016-Versionen erhalten den Patch über das Update KB5002713, das das frühere Update KB5002522 vom 13. Februar 2024 ablöst. Alternativ besteht in beiden Fällen die Möglichkeit, die erforderlichen Änderungen manuell über die Windows-Registry vorzunehmen.
Keine Lösung bietet Microsoft hingegen für im Einzelhandel gekaufte Versionen von Office 2016 C2R (Click-to-Run) sowie Office 2019. Der Support für diese Produkte wurde Mitte Oktober 2025 endgültig eingestellt – daran hält der Hersteller fest.
Zusätzlich hat Microsoft am vergangenen Wochenende außerplanmäßige Windows-Updates veröffentlicht. Diese beheben Probleme aus den zuletzt regulär ausgerollten Patches und liefern außerdem neue Boot-Zertifikate aus.