Es ist Dienstag, und Microsoft serviert uns zum Wochenstart ein außerplanmäßiges Sicherheitsupdate. Der Grund ist weniger erfreulich: Die Lücke CVE-2026-21509 wird laut Redmond bereits aktiv ausgenutzt. Das Szenario ist der Klassiker unter den Einfallstoren: Ein Nutzer öffnet eine manipulierte Office-Datei, und schon hebelt der Angreifer die Schutzmechanismen aus, die eigentlich verhindern sollen, dass schädliche OLE- und COM-Komponenten auf deinem System Amok laufen. Mit einem CVSS-Wert von 7,8 ist das Ding kein Pappenstiel, auch wenn Microsoft sich mit technischen Details gewohnt zurückhält.
Betroffen ist fast alles, was im Unternehmensumfeld Rang und Namen hat. Das reicht von den Microsoft 365 Apps for Enterprise bis hin zu den LTSC-Versionen von 2021 und 2024. Sogar die 2016er- und 2019er-Varianten sind mit von der Partie. Falls du dich fragst, ob du aktiv werden musst: Das kommt ganz auf deine Lizenz an. Für die modernen Cloud-basierten Versionen und die aktuellen LTSC-Ableger genügt meist ein beherzter Neustart der Office-Anwendungen, da Microsoft die Patches hier serverseitig einspielt.
Interessant wird es bei den älteren Semestern. Obwohl der Support für Office 2019 in der Volumenlizenz-Variante eigentlich Geschichte ist, hat Microsoft hier tatsächlich noch einmal Hand angelegt. Wer also Professional Plus 2019 nutzt, sollte schleunigst auf das Build 10417.20095 hochziehen. Bei der lokalen 2016er-Installation hilft das Update KB5002713 weiter. Wer mutig ist oder keine andere Wahl hat, kann die Lücke theoretisch auch über manuelle Eingriffe in die Registry abdichten, aber das ist eher etwas für die Fraktion, die gerne am offenen Herzen operiert.
Es gibt allerdings auch eine klare Grenze der Microsoft-Kulanz. Wenn du eine im Einzelhandel gekaufte Version von Office 2016 oder 2019 einsetzt, schaust du in die Röhre. Hier bleibt Microsoft hart: Der Support endete im Oktober 2025, und daran rüttelt auch eine aktiv ausgenutzte Sicherheitslücke nichts mehr. Es ist die sanfte, aber bestimmte Erinnerung des Konzerns, dass man doch bitte langsam in Richtung Abo-Modell oder aktuellere LTSC-Versionen wandern möge.
Es schadet also nicht, den Update-Button heute einmal mehr zu drücken, bevor man sich dem eigentlichen Tagwerk widmet.
Kommentare (0)