Microsoft März 2025: Kritische Office-Lücke bedroht Millionen

Microsoft schließt über 80 Sicherheitslücken in seinem September-Update – darunter eine besonders gefährliche Schwachstelle in Office, die bereits durch die Vorschaufunktion ausgenutzt werden kann. IT-Experten warnen vor sofortiger Patch-Pflicht.

Das Software-Riese aus Redmond hat am 17. September 2025 sein monatliches Sicherheitsupdate veröffentlicht und dabei eine beunruhigende Nachricht mitgeliefert: Eine kritische Lücke in Microsoft Office ermöglicht Angreifern die Übernahme von Computern, ohne dass Nutzer eine verdächtige Datei öffnen müssen. Die bloße Vorschau im E-Mail-Programm reicht aus.

Vorschau-Funktion wird zur Sicherheitsfalle

Die gefährlichste der nun geschlossenen Lücken trägt die Bezeichnung CVE-2025-54910 und erhält von Microsoft die höchste Gefahrenstufe „Kritisch“. Mit einem Schweregrad von 8,4 auf der internationalen Skala handelt es sich um einen sogenannten Heap-Buffer-Overflow, der Cyberkriminellen erlaubt, schädlichen Code auf fremden Rechnern auszuführen.

Besonders tückisch: Die Schwachstelle kann über die Vorschau-Funktion in Programmen wie Outlook ausgenutzt werden. Ein Angreifer muss lediglich ein manipuliertes Dokument per E-Mail versenden – sobald das Opfer die Nachricht öffnet und das System automatisch eine Vorschau generiert, kann der Schadcode aktiv werden.

Betroffen sind sämtliche gängigen Office-Versionen: Microsoft 365, Office 2016, Office 2019 sowie die aktuellen LTSC-Editionen 2021 und 2024. Damit sind Millionen von Arbeitsplätzen weltweit gefährdet.
Anzeige: Apropos Outlook-Vorschau: Wenn Sie Outlook jetzt korrekt und stressfrei einrichten möchten, hilft eine klare Schritt-für-Schritt-Anleitung. Der kostenlose Guide zeigt die richtigen Kontoeinstellungen, die Synchronisation mit Smartphone/Tablet und praktische Zeitspar-Tipps – geeignet für Outlook 2003 bis 365. Holen Sie sich den Download und vermeiden Sie typische Einrichtungsfehler. Outlook richtig einrichten – jetzt gratis sichern

Zusätzliche Office-Schwachstellen entdeckt

Neben der kritischen Vorschau-Lücke hat Microsoft eine weitere gefährliche Office-Schwachstelle behoben. CVE-2025-54906 gilt als „wichtig“ eingestuft und ermöglicht ebenfalls die Fernsteuerung von Computern – allerdings nur, wenn Nutzer aktiv eine schädliche Datei öffnen.

Insgesamt 17 separate Patches für die Office-Suite zeigen: Microsoft rückt die Sicherheit seiner Büro-Software in den Fokus. Das September-Update umfasst mehr als 80 behobene Schwachstellen, davon acht als kritisch eingestuft.

Zwei Zero-Day-Lücken bereits öffentlich bekannt

Zusätzlich zu den Office-Problemen schließt das Update zwei bereits öffentlich bekannte Sicherheitslücken. Die erste betrifft das Windows-Server-Message-Block-Protokoll (SMB) und könnte Angreifern erweiterte Systemrechte verschaffen. Die zweite Lücke steckt in der Newtonsoft.Json-Bibliothek, die in Microsoft SQL Server integriert ist.

Obwohl Microsoft bisher keine aktive Ausnutzung der kritischen Office-Lücke beobachtet hat, rechnen Sicherheitsexperten mit schnellen Angriffsversuchen. Die öffentliche Bekanntgabe der Schwachstelle liefert Cyberkriminellen eine Anleitung für eigene Attacken.

Sofortige Installation dringend empfohlen

IT-Administratoren und Privatnutzer sollten die September-Updates unverzüglich installieren. Die Gefahr durch CVE-2025-54910 ist zu groß, um auf den nächsten regulären Patch-Zyklus zu warten. Microsoft empfiehlt ausdrücklich, alle verfügbaren Updates zu installieren.

Die Cybersecurity-Community erwartet, dass binnen weniger Tage oder Wochen funktionsfähige Exploit-Codes für die Vorschau-Lücke auftauchen könnten. Ungeschützte Systeme würden dann zu leichten Zielen für Angreifer – ein Szenario, das niemand erleben möchte.