Am Montag hat Microsoft ein Notfall-Update für Microsoft 365 und mehrere Office-Versionen herausgegeben. Die behandelte Sicherheitslücke wird bereits aktiv ausgenutzt. Damit ein Angriff erfolgreich ist, müssen Opfer lediglich eine entsprechend manipulierte Office-Datei öffnen. Dann soll es offenbar möglich sein, Sicherheitsmaßnamen zu umgehen, die die Ausführung schädlicher OLE- (Objekt-Verknüpfung und -Einbettung) und COM-Komponenten (Component Object Model) verhindern sollen.

Die Sicherheitslücke (CVE-2026-21509) ist mit einem CVE-Wert von 7.8 als "hoch" eingestuft. Von der Sicherheitslücke sind Microsoft 365 Apps for Enterprise und die Office-Versionen 2016 (Version 16.0.0 bis vor 16.0.5539.1001), 2019 (16.0.0 bis vor 16.0.10417.20095), LTSC 2021 sowie LTSC 2024, jeweils die Varianten für 32 Bit und 64 Bit betroffen.

Für Office 2021 und 2024 wird das Update serverseitig eingespielt, sodass Anwender lediglich ihre Office-Anwendungen komplett neu starten müssen, um den Schutz zu erhalten. Unklar ist, ob das auch für Microsoft 365 Apps for Enterprise gilt, da Microsoft sich dazu bislang nicht geäußert hat.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE