Notfall-Update
Hacker nutzen Sicherheitslücke in Microsoft Office aus
27.01.2026 – 11:45 UhrLesedauer: 2 Min.
Microsoft warnt vor einer kritischen Schwachstelle in Office. Die Lücke wird bereits aktiv ausgenutzt, Nutzer sollten schnell handeln.
Microsoft hat ein außerplanmäßiges Sicherheitsupdate für mehrere Office-Versionen veröffentlicht. Der Grund: Eine gefährliche Schwachstelle wird nach Angaben des Konzerns bereits aktiv für Angriffe genutzt. Betroffen sind neben Microsoft 365 auch die Versionen Office 2016, 2019, 2021 LTSC und 2024 LTSC.
Die Sicherheitslücke trägt die Kennung CVE-2026-21509 und wird als „hoch“ eingestuft. Laut Microsoft können Angreifer durch Ausnutzung der Schwachstelle Sicherheitsbarrieren umgehen, die verhindern sollen, dass schädlicher Code über eingebettete Objekte in Office-Dokumenten ausgeführt wird.
Für einen erfolgreichen Angriff müssten Nutzer eine speziell präparierte Office-Datei öffnen. Das bloße Betrachten im Vorschaufenster reiche als Angriffsvektor nicht aus, teilt Microsoft mit. Die Angriffskomplexität sei jedoch „gering“. Details zu den beobachteten Angriffen und den Zielen der Angreifer nennt der Konzern nicht.
Nutzer von Office 2021, Office 2024 und Microsoft 365 Apps for Enterprise müssen keine manuellen Updates installieren, heißt es weiter. Microsoft habe die Ursache für die Schwachstelle bei diesen Versionen durch eine serverseitige Änderung behoben. Allerdings müssten alle Office-Anwendungen komplett neu gestartet werden, damit der Schutz wirksam wird.
Für Office 2016 ist das Update KB5002713 verfügbar, das über den Microsoft-Update-Katalog heruntergeladen werden kann. Office 2019 muss auf Version 1808 (Build 10417.20095) upgedatet werden. Wer diese älteren Versionen nicht sofort aktualisieren kann, findet in der Microsoft-Sicherheitsmeldung alternative Registrierungsschlüssel als Übergangslösung. Vor deren Anwendung sollten jedoch alle Office-Anwendungen geschlossen und ein Backup der Registry angelegt werden.
Für im Einzelhandel erworbene Ausgaben von Office 2016 C2R (Click-to-Run) und Microsoft Office 2019 gibt es kein Update. Microsoft hatte die Unterstützung für diese Versionen Mitte Oktober 2025 eingestellt und bleibt dabei – trotz der aktiven Angriffe.
