Grund ist eine Lücke in einer Browser-Engine für den Internet Explorer. In Word, Excel und Powerpoint wird diese zum Rendern von Web-Inhalten verwendet

Microsoft hat am Dienstag vor einer aktiv ausgenutzten Zero-Day-Lücke im Internet Explorer gewarnt, mit der anfällige Windows-Systeme mittels infizierter Word-Dokumente aus Office 365 und Office 2019 gekapert werden können. Ein Sicherheitsupdate gibt es bisher noch nicht, Abhilfe schafft Microsoft vorerst über einen Umweg.

Die Schwachstelle trägt den Namen CVE-2021-40444 (CVSS score: 8.8) und kann für die Remotecodeausführung genutzt werden. Grund ist eine Lücke in MSHTML, einer proprietären Browser-Engine für den inzwischen eingestellten Internet Explorer, wie "The Hacker News" berichtet. In Word-, Excel- und Powerpoint-Dokumenten wird diese zum Rendern von Web-Inhalten verwendet.