In Office 2016 bis Office 2024 (auch LTSC), sowie die Microsoft 365 Apps für Unternehmen steckt eine Sicherheitslücke, die aktiv ausgenutzt wird. Diese wird unter CVE-2026-21509 gelistet. Wer Office 2021 oder 2024 nutzt, braucht Office nur einmal neu starten, um gesichert zu sein.
Für Office 2016 und 2019 ist ein Update notwendig. Auf der Seite ist aber auch beschrieben, wie man eine Blockierung in der Registry erreichen kann. Hier muss unter dem jeweiligen Registry-Pfad ein neuer Eintrag hinzugefügt werden. Da es sich um verschiedene Pfade handelt, verlinke ich mal nur in den CVE-2026-21509-Eintrag von Microsoft
Office mit aktiv ausgenutzter Sicherheitslücke CVE-2026-21509
„Wer Office 2021 oder 2024 nutzt, braucht Office nur einmal neu starten, um gesichert zu sein.“
Und wo erkenne ich, dass das Update auch ausgeführt wurde? 🤔
Das würde mich auch interessieren.
Oder einfach MS vertrauen obwohl es immer schwerer fällt die Produkte ohne schlechtes gewissen einzusetzen
ziemlich dürftige Infos und wo bekomm ich die Update für Office 2019 her???
Wie wäre es, wenn du auf der Security-Seite einmal nach unten scrollst? Außerdem erhalten die ClicktoRun Versionen kein Update.
Moin moinmoin,
„Außerdem erhalten die ClicktoRun Versionen kein Update.“
Das kann ich zumindest mit den Infos auf der MS Seite nicht nachvollziehen. Dort (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509) sind doch die C2R Versionen verlinkt, die jeweiligen Updates aber mit 13. Januar oder 26. Januar datiert.
Gruß, M.
Hab ich mich falsch ausgedrückt. Nur die Vol. Lizenzen erhalten noch Updates.
Bin Administrator in einer kritischen Infrastruktur.
Wir nutzen ebenfalls die MS Office 2024 LTSC Pro Plus.
Mir erschließt sich nicht, wie ein einfacher Neustart der Anwendung in einer airgapped Umgebung die Lücke schließen kann. Woher bekommt MS Office 2024 die Information, dass es jetzt etwas anders machen soll.
Laut Microsoft sind ja keine Änderungen per GPO oder ein Update erforderlich. Die Lücke wird laut Microsoft wie durch Zauberhand behoben….
Und hier die effektiven Registry-Pfade in allen Installationsvarianten für die jeweiligen Office-Versionen 2016 bis 2019.
——————————————–
Windows Registry Editor Version 5.00 ;64-bit MSI Office, oder 32-bit MSI Office auf 32-bit Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}] "Compatibility Flags"=dword:00000400 ;32-bit MSI Office auf 64-bit Windows [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}] "Compatibility Flags"=dword:00000400 ;64-bit Click2Run Office, oder 32-bit Click2Run Office auf 32-bit Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}] "Compatibility Flags"=dword:00000400 ;32-bit Click2Run Office auf 64-bit Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}] "Compatibility Flags"=dword:00000400——————————————–
Der letzte Eintrag dürfte der für die meisten relevante sein, sofern ihr noch Office 2019 oder älter nutzt. Die Microsoft Seite finde ich ein bisschen unübersichtlich. Aber vermutlich ist das Absicht, damit die Leute nicht einfach irgendwas per Copy&Paste ausführen. Das könnt ihr jetzt hier machen.
Baut euch das also so zusammen, wie ihr das braucht, importiert es dann in die Registry und ihr seid geschützt.
Die Microsoft 365 Apps sind auch betroffen?
Finde ich im CVE-Eintrag nicht.
Auch die im CVE-Eintrag enthaltene Versionsnummer welche gestern veröffentlicht wurde 16.0.10417.20095 ist deutlich niedriger als das, was wir im Unternehmen im MonthlyEnterprise Kanal diesen Monat erhalten haben: 16.0.19426.20260
Frage an moinmoin , ich nutze die MS Office 2024 LTSC Pro Plus , habe das aktuelle Build : Version 2512 (Build 19530.20184 Klick-und-Los) , die Version kam letzte Woche . Steht bei der Security gar nicht da , da steht aktuell die : Current Channel: Version 2512 (Build 19530.20144) vom 13.01. ! Also mache ich nichts , ist auch nichts zum Download da , bitte um Antwort, Danke
Richtig, du brauchst nichts machen.
Es bleibt dabei die alten Win XP oder Win7 Windows Update war 1000x besser. Früher wurde zu dem Office auch über Windows Update noch mit Versorgt, jetzt muss man es aus dem Office herraus machen, dadurch bekommt man nicht immer was mit. Das Nervt, genauso wie es teilweise kaum möglich ist gewissen Problemen zu entkommen, wenn man kein aufmerksamer Deskmodder Stammleser ist.
Back to the Roots – wäre hier besser. Ich konnte mich mit der Umstellung niemals anfreunden und die Nachteile überwiegen.
ja, eigentlich blöd, wenn man bei Windows Updates „Updates für andere Microsoft Produkte erhalten“ den Schalter auf „ein“ setzt, würde man meinen, man erhält auch für alle Office Produkte die Updates.
Ich habe mir einen Link auf den Desktop gesetzt für die Office Updates:
ClickToRun\OfficeC2RClient.exe /update user
Bei der Installation mit meinem Script für ODT geschieht dieses automatisch mit einem kleinen Powershell Code.
Den Link könnte man sich jetzt noch zusätzlich in den Autostart legen oder in die Aufgabenplanung.