Windows-Lücke ermöglicht, Schadcode via Outlook-E-Mails einzuschleusen

Microsoft’s Aussagen zufolge lässt sich aktuell eine Schwachstelle von Angreifern ausnutzen. Hierfür muss die E-Mail in Outlook nicht einmal aktiv geöffnet werden, denn scheinbar reicht die Vorschau der E-Mail für einen erfolgreichen Angriff aus. Es wird empfohlen, unmittelbar zu patchen.

Patches sind verfügbar

Microsoft hat am Dienstag produktübergreifend rund 160 Sicherheitslücken mit einem Patch geschlossen. Ihre Windows Server und Arbeitsplatzrechner sollten Sie also mit den neusten Patches von Microsoft updaten oder von Ihrem Administrator updaten lassen.

Technische Informationen zur Lücke

Lesen Sie gerne den ausführlichen Artikel auf golem.de, den wir als Grundlage für unsere Meldung nutzen. Die wichtigsten Auszüge daraus:

„Microsoft hat zum diesjährigen Januar-Patchday wieder jede Menge Sicherheitslücken in seinen Produkten geschlossen. Eine davon sticht besonders hervor und dürfte unzählige Windows-Nutzer betreffen, die Outlook verwenden. Es handelt sich um CVE-2025-21298, eine mit einem CVSS von 9,8 als kritisch eingestufte Use-after-free-Lücke in Windows OLE (Object Linking and Embedding).

Die Angriffskomplexität stuft Microsoft als gering ein. Zudem benötigen Angreifer vorab keinerlei Zugriffsrechte auf dem Zielsystem. Fälle einer aktiven Ausnutzung von CVE-2025-21298 sind dem Konzern bisher nicht bekannt, jedoch halten die Redmonder es für wahrscheinlich, dass entsprechende Angriffe künftig stattfinden.

Nach Angaben der Zero Day Initiative (ZDI), die die Schwachstelle auch an Microsoft meldete, basiert CVE-2025-21298 auf einem Fehler bei der Analyse von RTF-Dateien. Dabei fehlt es an einer ordnungsgemäßen Validierung der bereitgestellten Daten, was bei Bereitstellung einer entsprechend präparierten E-Mail einen Speicherkorruptionsfehler zur Folge haben kann.

Anfällig für CVE-2025-21298 sind nicht nur alle Versionen von Windows 10 und Windows 11, sondern auch Windows Server 2008 (R2), 2012, 2016, 2019, 2022 und 2025. Für all diese Systeme stellte Microsoft am Dienstag Patches bereit, die die Lücke schließen. Als alternativen Workaround empfiehlt Microsoft, die Anzeige von E-Mails in Outlook auf das Plain-Text-Format umzustellen, was jedoch mit Einschränkungen bei der Darstellung der Nachrichten einhergeht.“