Microsoft Office 2016: Kritische Sicherheitslücken geschlossen
18.01.2026 - 17:22:11
Microsoft hat dringende Sicherheitsupdates für Office 2016 veröffentlicht. Die Patches schützen vor schwerwiegenden Angriffen, bei denen Angreifer über manipulierte Dokumente die Kontrolle über Systeme erlangen könnten.
Die Updates vom 13. Januar 2026 beheben zahlreiche kritische Schwachstellen in Excel und Word. Sie sind Teil des monatlichen “Patch Tuesday”, bei dem Microsoft in diesem Monat über 110 Sicherheitslücken in seinen Produkten geschlossen hat. Für Unternehmen und Privatanwender, die noch auf die 2016er-Version setzen, sind die Patches essenziell.
Excel 2016: Mehrere Code-Ausführungs-Lücken gestopft
Das Update KB5002831 für Excel 2016 behebt mehrere Remote-Code-Execution-Lücken (RCE). Die Gefahr: Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er einen Nutzer zum Öffnen einer speziell präparierten Excel-Datei verleitet. Gelänge dies, könnte der Angreifer beliebigen Code auf dem Computer des Opfers ausführen.
Zu den geschlossenen Sicherheitslücken zählen CVE-2026-20946, CVE-2026-20950 und CVE-2026-20957. Technisch handelt es sich um Probleme wie Integer-Underflow und das Dereferenzieren nicht vertrauenswürdiger Zeiger. Diese Fehler können durch bösartige Dateien so manipuliert werden, dass der Systemspeicher korrumpiert wird – und der Angreifer die Kontrolle übernimmt.
Passend zum Thema Outlook: Unsichere Voreinstellungen wie die Vorschau in E‑Mails erhöhen das Risiko, dass manipulierte Dateien Schaden anrichten. Der kostenlose Outlook‑Spezialkurs erklärt in klaren Schritten, wie Sie Outlook sicher einrichten, die Vorschau deaktivieren, Konten richtig absichern und typische Stolperfallen vermeiden. Ideal für Büroanwender und IT‑Einsteiger, die Outlook schnell stabil und sicher betreiben wollen. Jetzt kostenlosen Outlook‑Ratgeber herunterladen
Word 2016: Kritische Schwachstelle erfordert sofortiges Handeln
Auch Word 2016 erhielt ein kritisches Sicherheitsupdate. Der Patch KB5002829 schließt die RCE-Lücke CVE-2026-20944. Dabei handelt es sich um eine “Out-of-Bounds-Read”-Schwachstelle. Vereinfacht gesagt, kann die Software dazu gebracht werden, Speicherbereiche zu lesen, auf die sie keinen Zugriff haben sollte. Dies kann beim Öffnen eines manipulierten Dokuments zur Ausführung von Schadcode führen.
Wie bei Excel setzt der Angriff voraus, dass ein Nutzer eine bösartige Datei öffnet. Angesichts der allgegenwärtigen Nutzung von Word-Dokumenten im Geschäftsverkehr ist das Angriffspotenzial enorm. Das Update verhindert Szenarien, in denen das simple Öffnen eines scheinbar legitimen Dokuments zur vollständigen Systemkompromittierung führt.
Gefahr durch Outlook-Vorschau: Angriff ohne Klick
Ein besonders tückisches Risiko bergen einige der geschlossenen Office-Schwachstellen: Sie könnten bereits über den Outlook-Vorschaubereich ausgenutzt werden. Das bedeutet, ein Angriff könnte erfolgreich sein, ohne dass der Nutzer die schädliche Datei überhaupt öffnet. Allein die Vorschau in der E-Mail könnte genügen, um den Schadcode auszuführen. Diese Angriffsvektor senkt die Hürde für einen erfolgreichen Hack erheblich.
Sicherheitsexperten raten bei nicht sofort möglichen Updates kurzfristig dazu, den Vorschaubereich zu deaktivieren. Die allgemeine Suite-Aktualisierung KB5002826 adressiert unter anderem die RCE-Lücken CVE-2026-20952 und CVE-2026-20953.
Hintergrund: Massiver Patch-Tag mit Zero-Day-Bedrohung
Die Office-Updates waren Teil eines außergewöhnlich umfangreichen Patch Tuesdays im Januar 2026. Microsoft behebt acht als “kritisch” eingestufte Lücken. Darunter war mindestens eine Zero-Day-Schwachstelle (CVE-2026-20805), die bereits aktiv in der Wildnis ausgenutzt wurde. Dabei handelte es sich zwar um eine Schwachstelle im Desktop Window Manager, nicht direkt in Office. Doch sie zeigt das angespannte Cybersicherheits-Umfeld.
Die schiere Menge der Patches – besonders die hohe Zahl an Rechteausweitung- und Code-Ausführungs-Lücken – belegt die konzertierten Anstrengungen von Cyberkriminellen, Schwachstellen in weit verbreiteter Business-Software zu finden und auszunutzen. Für Nutzer älterer, aber noch unterstützter Software wie Office 2016 sind diese regelmäßigen Sicherheitsupdates eine überlebenswichtige Verteidigungslinie.
Wichtig: Die Updates gelten für die MSI-basierten Editionen von Office 2016. Click-to-Run-Versionen, wie sie mit Microsoft 365 ausgeliefert werden, sind nicht betroffen.
Was Nutzer jetzt tun sollten
Die wichtigste Maßnahme ist die sofortige Installation der Sicherheitsupdates. Für die meisten Nutzer geschieht dies automatisch über Microsoft Update, sofern die automatische Aktualisierung aktiviert ist. Alternativ können die Patches manuell aus dem Microsoft Update-Katalog oder dem Download Center bezogen werden.
Die fortgesetzte Bereitstellung von Sicherheitsupdates für Office 2016 unterstreicht Microsofts Support-Verpflichtung. Gleichzeitig erinnert sie an die anhaltenden Sicherheitsherausforderungen komplexer Software. Eine robuste Patch-Management-Strategie bleibt eine der wirksamsten Verteidigungen gegen Cyberangriffe.
PS: Wenn Sie Office regelmäßig nutzen, lohnt es sich, Outlook gezielt auf Sicherheits‑ und Backup‑Einstellungen zu prüfen. Der Outlook‑Spezialkurs liefert praxisnahe Schritt‑für‑Schritt‑Anleitungen zu sicheren Kontoeinstellungen, Datensicherung und Zeitspar‑Tipps für Mail, Kalender und Kontakte – kostenlos zum Download. So reduzieren Sie das Risiko durch manipulierte Dokumente und arbeiten gleichzeitig effizienter. Jetzt Outlook‑Spezialkurs anfordern
