Hallo zusammen,

bei uns an der Hochschule wurden wir informiert, dass es ein Problem mit Outlook gibt und wir die unten beschriebene Maßnahme ergreifen müssen.

Ob das auch bei Outlook für MAC erforderlich und wie das da gehen soll, konnte mir aktuell niemand sagen.

Gibt es hierzu hier Fachleute, die mir da weiter helfen können?

Anbei der originale Text der Mail:


"im Rahmen des jüngsten Microsoft-Patchdays wurde eine kritische Schwachstelle in Windows OLE identifiziert, die auch Microsoft Outlook betrifft (Schwachstelle CVE-2025-21298). Diese Schwachstelle ermöglicht es Angreifern, Schadcode auszuführen, indem eine speziell präparierte E-Mail in der Vorschau angezeigt wird – ohne weitere Nutzerinteraktion. Die Bedrohungslage wird vom BSI eingestuft als „2 / Gelb: IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs“.

Um den Schutz vor dieser Schwachstelle zu gewährleisten, bis die automatischen Updates eingespielt werden, ist es unerlässlich, dass Sie schnellstmöglich die folgende Einstellung in Outlook manuell vornehmen:

1.Öffnen Sie Outlook und gehen Sie zu Datei Optionen.
2.Wählen Sie Trust Center und anschließend Einstellungen für das Trust Center....
3.Unter E-Mail-Sicherheit setzen Sie die Haken bei:

*Standardnachrichten im Nur-Text-Format lesen
*Digital signierte Nachrichten im Nur-Text-Format lesen

Die Einstellung hat zur Folge, dass E-Mails in Outlook standardmäßig nicht als HTML, sondern als reiner Text dargestellt werden. Im Kopf der Leseansicht erscheint der Hinweis „Diese Nachricht wurde in das Nur-Text-Format konvertiert.“. Bei vertrauenswürdigen Mails kann per Klick auf diesen Hinweis für die angezeigt Mail manuell wieder die HTML-Ansicht aktiviert werden. Bitte vergewissern Sie sich, dass es sich um eine seriöse E-Mail handelt. Die folgenden Informationen können Ihnen dabei helfen dies einzuschätzen:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html

Das Bundesamt für Sicherheit in der Informationstechnik bewertet die Lücke wie folgt: „Der Angriffsweg durch die Voransicht beim Empfang einer E-Mail in Microsoft Outlook ist besorgniserregend. Aufgrund der weiten Verbreitung von Microsoft Produkten im Allgemeinen und des vergleichsweise einfachen Angriffsszenarios muss daher davon ausgegangen werden, dass kurzfristig Angriffsversuche stattfinden werden. Auch Microsoft selbst hält eine Ausnutzung von CVE-2025-21298 für eher wahrscheinlich. Bereits in der Vergangenheit wurden vergleichbare Schwachstellen in Outlook verwendet, um Clients zu kompromittieren.“


Viele Grüße MacMichael

Ein Fachmann bin ich nicht. Die CVE-2025-21298 ist dokumentiert . Die Schwachstelle ist Windows OLE (Object Linking and Embedding), was eine Windows-Komponente ist. Demnach haben MacOS-Systeme kein Problem. Aber von einem Mac könnte so eine Mail weitergeleitet werden und bleibt dann womöglich eine Gefahr für andere.

Vielen Dank für die Info, das ist sehr hilfreich und klingt mehr als logisch.

Systemweites OLE auf dem Mac gab es nie und somit können weder MacOS noch Apps damit etwas anfangen. Die MS-Apps auf dem Mac sind allerdings eine Ausnahme, Word und Excel können über ein vereinfachtes OLE-Framework kommunizieren – beispielsweise zur Einbettung und dynamischen Verknüpfung von Dokumenten untereinander.

Dieses Framework ist im jeweiligen Programmordner installiert. Ob und wie Outlook in der Mac-Version ggf. auch OLE-fähig ist, entzieht sich meiner Kenntnis.

Der Umfang der OLE-Fähigkeiten für MS-Produkte auf dem Mac ist aber in jedem Fall deutlich geringer als auf einem Windows-Rechner. Bin mir auch nicht sicher, ob MS das überhaupt noch weitergepflegt auf dem Mac...

Es gab am 14.01.25 ein Sicherheitsupdate für Word und Excel in dem CVE-2025-21298 nicht erwähnt oder irgendetwas in diesem Zusammenhang gefixt wird.

Insofern tippe ich auch mal auf nicht relevant für die eigene Sicherheit (aber wie erwähnt – weiterleiten geht immer...und für ungepatchte Windows-User ist das Ding eher unschön).