Im Rahmen des jüngsten Patch-Days hat Microsoft mehrere sicherheitsrelevante Updates für seine Office-Produkte veröffentlicht. Experten und das BSI raten bereits zu sofortiger Aktualisierung der betroffenen Systeme.
Kritische Sicherheitslücken in Microsoft Office
Besonders brisant sind dabei sechs Remote Code Execution-Schwachstellen (RCE), die mit einem CVE-Score von 8,4 als kritisch eingestuft wurden. RCEs sind Sicherheitslücken, die es einem Angreifer ermöglichen, beliebigen Code auf einem entfernten System auszuführen, ohne physischen Zugriff darauf zu haben, daher sind sie immer wieder ein großes Problem.
Die nun geschlossenen Sicherheitslücken betreffen verschiedene Office-Komponenten und könnten laut der Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) leicht von Angreifern ausgenutzt werden.
Die kritischen Schwachstellen umfassen unter anderem CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49698, CVE-2025-49702 und CVE-2025-49703. Sie basieren auf verschiedenen Schwachstellenmechanismen wie „Use after free“ in Office und Word, „Out-of-bounds read“ in Office, „Heap-based buffer overflow“ in Office sowie „Type confusion“ in Office.
Diese technischen Schwachstellen könnten es einem nicht autorisierten Angreifer ermöglichen, Code lokal auszuführen und damit potenziell die vollständige Kontrolle über das betroffene System zu erlangen. Besonders fatal ist, dass bei vier dieser Schwachstellen (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49702) bereits das Vorschaufenster als Einfallstor dienen kann.
Angriff über Vorschaufenster möglich
Dies bedeutet, dass ein Angriff bereits erfolgen könnte, wenn eine präparierte Datei lediglich in der Vorschau angezeigt wird – ohne dass der Benutzer die Datei aktiv öffnen muss. Diese Art der Ausnutzung macht die Schwachstellen besonders gefährlich, da sie keine aktive Benutzerinteraktion erfordern. Microsoft hat übrigens dennochdie Ausnutzung bislang als „wenig wahrscheinlich“ eingestuft.
Umfangreiche Updates für alle Versionen
Microsoft hat für die betroffenen Produkte eine Reihe von Sicherheitsupdates bereitgestellt. Für Microsoft Office 2016 wurden unter anderem folgende Updates veröffentlicht:
- KB5002749: Schließt RCE-Schwachstellen in Excel 2016
- KB5002742: Adressiert sieben RCE-Schwachstellen in Office 2016
- KB5002746: Behebt RCE-Schwachstellen in PowerPoint 2016
- KB5002745: Schließt eine RCE-Schwachstelle in Word 2016
Dieser Patchday stellt mit insgesamt 133 Patches ein umfangreiches Release dar. Neben den Office-Schwachstellen wurde auch eine Zero-Day-Lücke in SQL Server (CVE-2025-49719) geschlossen, die dringendes Handeln erfordert. Darüber hinaus wurden auch Sicherheitsupdates für verschiedene Versionen von Microsoft SharePoint Server und Office Online Server veröffentlicht, die ebenfalls zeitnah eingespielt werden sollten.
Wie steht ihr zu diesem Thema? Setzt ihr Sicherheitsupdates sofort ein oder wartet ihr lieber ab? Teilt eure Erfahrungen mit Microsoft-Updates in den Kommentaren!
Zusammenfassung
- BSI warnt vor kritischen RCE-Schwachstellen in MS Office
- Sicherheitslücken ermöglichen Remote-Zugriff ohne Nutzerinteraktion
- Vorschaufenster als mögliches Einfallstor für Angreifer
- Microsoft veröffentlicht 133 Sicherheitsupdates im Patch-Day
- Updates schließen RCE-Lücken in Excel, PowerPoint und Word
- Zero-Day-Lücke in SQL Server ebenfalls geschlossen
- BSI empfiehlt dringende Aktualisierung betroffener Systeme
Siehe auch: