Buiten de vaste patchrondes grijpt Microsoft doorgaans alleen in wanneer de nood hoog is. Dat moment is nu aangebroken voor Office en Microsoft 365 Apps for Enterprise.
Lees verder na de advertentie
Actief misbruikte kwetsbaarheid in Office
Microsoft heeft maandag een noodupdate beschikbaar gesteld voor Microsoft 365 en diverse Office-versies. De achterliggende kwetsbaarheid wordt inmiddels actief uitgebuit: het openen van een doelbewust gemanipuleerd Office-bestand is voldoende om een aanval te laten slagen. Daarbij lijken beveiligingsmechanismen te worden omzeild die juist de uitvoering van kwaadaardige OLE- (Object Linking and Embedding) en COM-componenten (Component Object Model) moeten verhinderen.
Tip!
Dit is het moment om jouw droomdevice aan te schaffen.
Beperkte informatie over CVE-2026-21509
Over de precieze technische details laat Microsoft zich vooralsnog niet uit in de aankondiging. De kwetsbaarheid is geregistreerd als CVE-2026-21509 en krijgt met een CVSS-score van 7,8 het predicaat ‘hoog’. Getroffen zijn Microsoft 365 Apps for Enterprise en de Office-versies 2016 (versie 16.0.0 tot vóór 16.0.5539.1001), 2019 (16.0.0 tot vóór 16.0.10417.20095), LTSC 2021 en LTSC 2024, telkens in zowel 32- als 64-bit uitvoering.
Uitrol van updates en herstart vereist
Voor Office 2021 en 2024 rolt Microsoft de update serverzijdig uit; gebruikers hoeven hun Office-applicaties slechts volledig opnieuw te starten om de bescherming te activeren. Dit geldt vermoedelijk ook voor Microsoft 365 Apps for Enterprise en Microsoft 365 Apps for Business, al heeft Microsoft dat nog niet expliciet bevestigd in de bijbehorende supportpagina.
Updates voor oudere Office-versies
Voor Office 2019-installaties met volumelicenties, zoals Office Professional Plus 2019, is de reguliere ondersteuning weliswaar beëindigd, maar Microsoft heeft desondanks een update beschikbaar gesteld. Om de kwetsbaarheid te verhelpen is een upgrade naar versie 1808, build 10417.20095 vereist. Voor lokaal geïnstalleerde Office 2016-versies is update KB5002713 beschikbaar, die KB5002522 van 13 februari 2024 vervangt. Alternatief kunnen Windows-gebruikers in beide gevallen de Windows registry handmatig aanpassen.
Profiteer tijdelijk van extra hoge korting op een c’t magazine abonnement!
- Inspiratie voorbij de grenzen van je vakgebied
- Actuele kennis over AI, beveiliging, netwerken en development
- Achtergronden, praktijkartikelen en uitgebreide hard- en softwaretests
- Alle nieuwe en oude c’t magazine edities direct digitaal beschikbaar
- Tijdelijk korting tot wel 37% op jouw abonnement
Geen update voor retailversies
Voor in de detailhandel verkochte edities van Office 2016 C2R (Click-to-Run) en Microsoft Office 2019 is geen update beschikbaar. Microsoft heeft de ondersteuning medio oktober 2025 beëindigd en wijkt daar niet van af.
Ook ongeplande Windows-updates
Afgelopen weekend bracht Microsoft daarnaast ongeplande Windows-updates uit. Die corrigeren fouten in de meest recente geplande patches en introduceren nieuwe bootcertificaten.
Tot slot
De noodupdate onderstreept opnieuw dat ook wijdverbreide kantoorsoftware een aantrekkelijk doelwit blijft voor aanvallers. Gebruikers doen er daarom goed aan beschikbare updates zo snel mogelijk toe te passen en voorzichtig om te gaan met onverwachte of verdachte Office-bestanden.
Tip!
Dit is het moment om jouw droomdevice aan te schaffen.
Praat mee