Mit dem jüngsten Patch-Zyklus hat Microsoft mehrere als kritisch eingestufte Sicherheitslücken in Microsoft Office 2016 geschlossen. Die Aktualisierungen vom 13. Januar 2026 richten sich vor allem an Nutzer von Word und Excel und sollen Angriffe verhindern, bei denen manipulierte Dokumente zur vollständigen Übernahme eines Systems führen können.
Die Updates sind Teil des monatlichen „Patch Tuesday“. In diesem außergewöhnlich umfangreichen Zyklus wurden über 110 Sicherheitslücken in Microsoft-Produkten behoben, acht davon als kritisch eingestuft. Für Unternehmen und Privatanwender, die weiterhin auf Office 2016 setzen, gelten die Patches als zwingend notwendig.
Excel und Word im Fokus der Angreifer
Besonders brisant sind die nun geschlossenen Schwachstellen in Microsoft Excel 2016. Das Update KB5002831 beseitigt mehrere Remote-Code-Execution-Lücken (RCE). Konkret geht es um die Sicherheitskennungen CVE-2026-20946, CVE-2026-20950 und CVE-2026-20957. Technisch stecken dahinter Fehler wie Integer-Underflows und das Dereferenzieren nicht vertrauenswürdiger Zeiger, die es Angreifern erlauben könnten, über präparierte Tabellen beliebigen Code auszuführen – vorausgesetzt, das Opfer öffnet die Datei.
Auch Microsoft Word 2016 war betroffen. Der Patch KB5002829 schließt die RCE-Lücke CVE-2026-20944, eine sogenannte Out-of-Bounds-Read-Schwachstelle. In der Praxis könnte bereits das Öffnen eines scheinbar harmlosen Word-Dokuments ausreichen, um Schadcode zu starten – ein besonders riskantes Szenario angesichts der alltäglichen Nutzung von Word im Geschäftsverkehr.
Zusätzlich weist Microsoft auf eine gefährliche Besonderheit hin: Einige der behobenen Office-Lücken konnten theoretisch schon über den Outlook-Vorschaubereich ausgenutzt werden. In diesem Fall wäre nicht einmal ein Klick nötig gewesen. Die allgemeine Suite-Aktualisierung KB5002826 adressiert unter anderem die RCE-Schwachstellen CVE-2026-20952 und CVE-2026-20953. Sicherheitsexperten empfehlen Nutzern, die Updates nicht sofort einspielen können, vorübergehend die Vorschaufunktion zu deaktivieren.
Patch Tuesday im Zeichen einer Zero-Day-Bedrohung
Die Office-Patches sind eingebettet in ein angespanntes Sicherheitsumfeld. Microsoft bestätigte, dass im Januar-Patch-Zyklus mindestens eine Zero-Day-Schwachstelle geschlossen wurde, die bereits aktiv ausgenutzt wurde: CVE-2026-20805 im Desktop Window Manager. Zwar betrifft diese Lücke nicht direkt Office, sie unterstreicht jedoch die aktuelle Intensität der Angriffe auf weit verbreitete Unternehmenssoftware.
Wichtig für Anwender: Die genannten Updates gelten ausschließlich für die MSI-basierten Editionen von Office 2016. Click-to-Run-Versionen, wie sie mit Microsoft 365 ausgeliefert werden, sind davon nicht betroffen.
Microsoft rät zur sofortigen Installation der Sicherheitsupdates, idealerweise über Microsoft Update mit aktivierter automatischer Aktualisierung. Alternativ stehen die Patches im Update-Katalog und im Download Center bereit. Die fortlaufende Versorgung von Office 2016 mit Sicherheitsfixes zeigt, dass auch ältere, noch unterstützte Software weiterhin im Visier von Angreifern steht – und dass konsequentes Patch-Management eine der wirksamsten Schutzmaßnahmen bleibt.
