Die E-Mail muss nicht einmal aktiv geöffnet werden. Schon die Vorschau in Outlook reicht für einen erfolgreichen Angriff aus. Anwender sollten zeitnah patchen.

Microsoft hat zum diesjährigen Januar-Patchday wieder jede Menge Sicherheitslücken in seinen Produkten geschlossen. Eine davon sticht besonders hervor und dürfte unzählige Windows-Nutzer betreffen, die Outlook verwenden. Es handelt sich um CVE-2025-21298, eine mit einem CVSS von 9,8 als kritisch eingestufte Use-after-free-Lücke in Windows OLE (Object Linking and Embedding).

Laut Microsoft lässt sich die Schwachstelle von Angreifern ausnutzen, indem sie lediglich eine speziell gestaltete E-Mail an ihre Opfer senden. Auf diesem Wege kann Schadcode eingeschleust und zur Ausführung gebracht werden. Letzteres passiert aber nicht nur, wenn die Zielperson die E-Mail aktiv in Outlook öffnet. Den Angaben nach reicht dafür schon die bloße Anzeige der E-Mail-Vorschau aus.