Microsoft schließt kritische Lücken in Word und Excel

Microsoft hat diese Woche eine umfangreiche Sicherheitsaktualisierung für seine Office-Software veröffentlicht. Die Patches beheben über 100 Schwachstellen, darunter mehrere kritische Lücken, die Angreifern die Fernsteuerung von Computern ermöglichen könnten. Besonders brisant: Eine der geschlossenen Sicherheitslücken wird bereits aktiv ausgenutzt.

Die Updates, die am 13. Januar als Teil des monatlichen „Patch Tuesday“ veröffentlicht wurden, betreffen populäre Anwendungen wie Microsoft Word, Excel und das gesamte Office-Paket. Insgesamt wurden 112 bis 114 Sicherheitslücken in verschiedenen Microsoft-Produkten geschlossen. Betroffen sind Office 2016, Office 2019 sowie die Long-Term Servicing Channel-Versionen für Windows und Mac.

Im Fokus stehen mehrere als „kritisch“ eingestufte Sicherheitslücken, die Angreifern die Ausführung von Schadcode auf einem fremden System ermöglichen. Die gefährlichsten dieser Lücken tragen die Bezeichnungen CVE-2026-20952 und CVE-2026-20953 und weisen einen hohen CVSS-Sicherheitswert von 8,4 auf.

Passend zum Thema IT-Sicherheit – viele Unternehmen sind auf solche Zero‑Day‑Angriffe nicht ausreichend vorbereitet. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends, praktische Sofortmaßnahmen und gesetzliche Neuerungen kompakt zusammen, inklusive Checklisten und Prioritätsliste für kleine und mittlere Unternehmen. Damit können IT‑Verantwortliche Risiken besser einschätzen, Patching-Prozesse priorisieren und Schutzmaßnahmen ohne große Budgets umsetzen. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

Das Besondere: Einige dieser Schwachstellen können bereits durch das Anzeigen einer Datei in der Vorschau von E-Mail-Clients ausgenutzt werden. Nutzer müssten also nicht einmal einen verdächtigen Anhang öffnen, um kompromittiert zu werden. „Das senkt die Hürde für erfolgreiche Angriffe erheblich“, erklärt ein Sicherheitsanalyst. „Gängige Sicherheitsschulungen, die vor dem Öffnen unbekannter Anhänge warnen, werden damit umgangen.“

Eine Lücke wird bereits aktiv ausgenutzt

Besondere Dringlichkeit erhalten die Updates durch eine bereits aktive Bedrohung. Die als „wichtig“ eingestufte Schwachstelle CVE-2026-20805 im Desktop Window Manager wird nach Microsoft-Angaben bereits „in der Wildnis“ ausgenutzt. Diese Lücke ermöglicht Angreifern den Zugriff auf sensible Systemspeicher-Informationen, die für weiterführende Attacken genutzt werden können.

„Die aktive Ausnutzung einer Lücke innerhalb des monatlichen Update-Pakets unterstreicht, wie wichtig eine zeitnahe Installation aller Sicherheitsupdates ist“, betont Microsoft. Neben den Fernzugriffs-Lücken beheben die Patches auch zahlreiche Rechteerweiterungs- und Informationsoffenlegungs-Schwachstellen.

Updates sofort installieren – Automatik prüfen

Für Nutzer von Microsoft 365 Apps sollten die Updates automatisch heruntergeladen und installiert werden. Besitzer von Perpetual-Lizenzen wie Office 2016 oder 2019 müssen die Updates dagegen manuell über die Kontoeinstellungen der Anwendungen einspielen oder auf die Bereitstellung durch ihre IT-Abteilung warten.

Sicherheitsexperten raten dringend zur sofortigen Installation. „Diese Lücken könnten als Einstiegspunkte für umfangreichere Netzwerkangriffe dienen“, warnt das kanadische Zentrum für Cybersicherheit. Angreifer analysieren regelmäßig veröffentlichte Patches, um daraus Exploits zu entwickeln – das Zeitfenster zwischen Veröffentlichung und Installation wird so zur kritischen Phase für die Systemsicherheit.

Die regelmäßige Entdeckung solcher Schwachstellen zeigt den anhaltenden Wettlauf zwischen Software-Herstellern und Cyberkriminellen. In einer zunehmend vernetzten Software-Umgebung, in der eine Lücke in einer Komponente weitreichende Folgen haben kann, bleiben zeitnahe Updates eine der wirksamsten Verteidigungsmaßnahmen für Unternehmen und Privatanwender gleichermaßen.

PS: Sie nutzen Microsoft Office und möchten Ihre Systeme schneller gegen solche Angriffe wappnen? Dieser kostenlose Leitfaden erklärt konkrete Schutzmaßnahmen – von schnellen Patching‑Checks über E‑Mail‑Konfigurationen bis zu Mitarbeiter‑Sensibilisierung und Notfallplänen. Praktische Empfehlungen helfen IT-Teams, Sicherheitslücken schneller zu schließen und Angriffsflächen zu reduzieren. Gratis-Cyber‑Security‑Leitfaden jetzt downloaden