Microsoft flickt Windows, Microsoft 365 und Office außer der Reihe

Die Sicherheits-Updates vom 13. Januar 2025 haben unter Windows 11 und 10 sowie bei Windows Server so große Probleme verursacht, dass man sich in Redmond entschieden hat, diese Fehler außer der Reihe (out-of-band bzw. OOB) zu flicken. Die erste Korrektur wurde bereits am 17. Januar nachgeschoben, eine zweite folgte letzten Samstag, also am 24. Januar 2026. Dieses OBB-Update ist kumulativ, es umfasst alle Inhalte der Update-Pakete vom 13. und 17. Januar 2026. Zusätzlich hat Microsoft am gestrigen Montag (26.1.2026) eine Zero-Day-Lücke (CVE-2026-21509) in Microsoft 365 und Office gestopft.

OBB-Update für Windows 11 und 10 sowie dem Windows Server
Wie Microsoft mitteilt, wurde das neue OBB-Update für Windows 11 und 10 sowie für Windows Server veröffentlicht. Behoben wurde dabei ein Dateisystemfehler, der den Zugriff auf Dateien in cloudbasierten Speicherlösungen wie OneDrive oder Dropbox stört. Sofern Outlook seine PST-Dateien auf OneDrive speichert, bleibt Outlook komplett hängen und lässt sich erst wieder öffnen, nachdem sein Prozess beendet wurde. Wie Microsoft einen derartigen Fehler, der alle noch unterstützten Versionen von Windows, den hauseigenen Cloud-Speicher OneDrive sowie die hauseigene Mail-Software Outlook betrifft, im Vorfeld übersehen konnte, lässt sich kaum erklären. Schließlich genießen die lukrativen Cloud-Dienste bei Microsoft eine sehr hohe Priorität.

Auch das zweite Problem hätte Microsoft schon im Vorfeld auffallen müssen, da es auf zahlreichen Systemen die Anmeldeaufforderung für Remotedesktop-Verbindungen scheitern lässt. Dies beinhaltet insbesondere die Windows-App auf Windows-Client-Geräten, Azure Virtual Desktop und Windows 365. Der letzte Fehler ist auf Windows 11 Version 23H2 beschränkt, welches in den Varianten Enterprise und IoT weiterhin mit Updates versorgt wird. Er verhindert das Herunterfahren sowie den Wechsel in den Ruhezustand, sofern Secure Launch verwendet wird. Stattdessen startet der Computer neu. Secure Launch kommt primär in Unternehmensumgebungen zum Einsatz und verwendet Sicherheitsmechanismen auf Basis von Virtualisierung, welche einen PC vor Angriffen über die Firmware schützen.

Hier noch die betroffenen Windows-Versionen sowie weiterführende Informationen:

• Windows 11, Versionen 25H2 und 24H2: KB5078127
• Windows 11 Enterprise Versionen 25H2 und 24H2: Hotpatch KB5078167
• Windows 11, Version 23H2: KB5078132
• Windows 10 ESU (22H2) und Windows 10 Enterprise LTSC 2021: KB5078129
• Windows Server 2025: KB5078135
• Windows Server, Version 23H2: KB5078133
• Windows Server 2022: KB5078136
• Windows Server 2022 Datacenter Azure Edition: Hotpatch KB5078238
• Windows Server 2019 und Windows 10 Enterprise LTSC 2019: KB5078131

Die Zero-Day-Lücke (CVE-2026-21509) in Microsoft Office
Erst gestern wurde die Zero-Day-Lücke CVE-2026-21509 geschlossen. Laut Microsoft ermöglicht die Schwachstelle das Umgehen von Sicherheitsfunktionen in Bezug auf COM- und OLE-Steuerelemente, da sich die Software auf ungeprüfte Eingaben verlässt. Die Angriffe erfolgen lokal, sind simpel und benötigen keine besonderen Benutzerrechte. Da zur erfolgreichen Durchführung eine Benutzeraktion erforderlich ist, beläuft sich der maximale Schweregrad nur auf Wichtig (CVSS 3.1: 7,8). Wie üblich reicht es aus, wenn ein lokaler Benutzer eine manipulierte Datei öffnet. Office 2021 wurde serverseitig abgesichert - die Software muss allerdings neu gestartet werden, damit die Änderungen greifen. Für Office 2016 and 2019 muss ein Sicherheits-Update installiert werden.