Als besonders kritisch bewertet das BSI die Schwachstellen in Windows OLE (CVE-2025-21298, CVSS 9.8) → https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21298
Für einen erfolgreichen Angriff soll es nach Angaben von Microsoft ausreichend sein, wenn ein Nutzer in Microsoft Outlook eine speziell manipulierte E-Mail öffnet oder diese in der Voransicht angezeigt wird. Es ist somit keine aktive Nutzerinteraktion notwendig. Vielmehr ist das alleinige Betrachten in der Vorschau in Outlook ausreichend, um Code auf dem Client des Nutzers auszuführen.
Aufgrund der Kritikalität sollten IT-Verantwortliche die Patches für diese Schwachstelle stark priorisiert einspielen.
Wenn Patches nicht unverzüglich eingespielt werden können, muss mindestens vorübergehend der vom Hersteller empfohlene Workaround angewendet werden, um eine Ausnutzung ohne Nutzerinteraktion zu verhindern. Hierbei sollte Microsoft Outlook so konfiguriert werden, dass E-Mails per Voreinstellung nur noch im Nur-Text-Format gelesen werden.
Der entsprechende Workaround [MS25d] kann wie folgt im Trust Center festgelegt werden:
Datei -> Optionen -> Trust Center -> Einstellungen für das Trust Center… -> E-Mail-Sicherheit -> Haken setzen bei "Standardnachrichten im Nur-Text-Format lesen" sowie bei "Digital signierte Nachrichten im Nur-Text-Format lesen"
Quellen:
