16. Januar 2025, 11:31 Uhr | Lesezeit: 3 Minuten
Anlässlich des Januar-Patchdays hat Microsoft wieder viele Fehler und Problemstellen adressiert. Eine Sicherheitslücke in Outlook ist besonders kritisch.
Im Alltag bemerken es Verbraucher kaum. Aber die Bereitstellung von Internetdiensten gleicht einem ständigen Wettrüsten zwischen Unternehmen, die für die Sicherheit ihrer Produkte und Kunden sorgen wollen, und Cyberkriminellen. Deswegen kommen immer wieder neue Probleme auf, die die Hersteller lösen müssen. Microsoft ist da keine Ausnahme und hat für den Januar-Patchday gleich an mehreren Stellen nachgebessert. Einer Sicherheitslücke in Outlook sticht dabei hervor.
Sicherheitslücke bei Outlook als kritisch eingestuft
Im Kern geht es um die als CVE-2025-21298 designierte Sicherheitslücke bei Outlook. Wie Microsoft selbst schreibt, hat diese einen CVSS-Basis-Score von 9,8 erhalten und gilt somit als besonders schwerwiegend. Der CVSS ist ein Standard zur Einordnung der Schwere von Sicherheitslücken. Konkret geht es um die OLE-Technologie (Object Linking and Embedding). Diese ermöglicht das Einbetten und Verknüpfen mit Dokumenten und anderen Objekten.
Als mögliche Auswirkung der Sicherheitslücke bei Outlook nennt der Hersteller Remotecodeausführung. Für diese präparieren die Täter E-Mails mit Schadcode und verschicken diese. Für die Einschleusung der schädlichen Software muss das Opfer noch nicht einmal die Nachricht aktiv öffnen. Tatsächlich soll schon eine Vorschau im Outlook-Programm ausreichen, um den gefährlichen Vorgang auszulösen.
Microsoft stuft die Angriffskomplexität als niedrig ein. Das heißt, dass es vergleichsweise einfach ist, die entsprechende Sicherheitslücke bei Outlook auszunutzen – zumindest sind nicht viele Voraussetzungen vonnöten.
Viele Versionen betroffen Darum sollten Sie jetzt sofort Outlook aktualisieren
Bedrohungslage Gelb Bundesbehörde warnt erneut vor kritischen Lücken in Microsoft Exchange
iOS 14.7.1 iPhone-Update kann Mobilfunk-Empfang komplett lahmlegen
Patches unbedingt installieren
Laut der Zero Day Initiative soll es einen Fehler bei der Analyse von RTF-Dateien geben, der das Sicherheitsrisiko erst möglich macht. Dadurch werden Nutzungsdaten nicht richtig validiert. Das könnte wiederum zu einem Speicherkorruptionszustand führen. Betroffen sind alle bisherigen Versionen von Windows 10 und 11 sowie Windows Server 2008 (R2), 2012, 2016, 2019, 2022 und 2025.
Auch interessant: Outlook gibt offenbar Zugangsdaten weiter – das sagt Microsoft dazu
Immerhin: Aktuell ist Microsoft kein Fall über die Ausnutzung von CVE-2025-21298 bekannt. Trotzdem halten es die Verantwortlichen für wahrscheinlich, dass dies noch passieren könnte. Das Unternehmen hat bereits Patches bereitgestellt, die Anwender schnell installieren sollten. Alternativ nennt Microsoft als Workaround zusätzlich die Möglichkeit, E-Mails im „Nur-Text-Format“ zu lesen. Denn so enthalten die Nachrichten keine Bilder, Spezialschriftarten, Animationen oder sonstige Rich-Text-Inhalte, die für die Sicherheitslücke bei Outlook überhaupt verantwortlich sind.
Bei Microsoft hat man laut der Zero Day Initiative alle Hände voll zu tun, die eigenen Systeme sicher zu halten: Allein in diesem Monat hat man 161 verschiedene Sicherheitslücken zu unterschiedlichen Schweregraden veröffentlicht und bearbeitet.
