Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Gefahr im Outlook-Vorschaufenster

- Warnmeldung

Wer es gewohnt ist, in Outlook eine E-Mail vor dem Öffnen zunächst im Vorschaufenster anzuschauen, sollte derzeit aufpassen. Bei einer entsprechend präparierten E-Mail kann allein schon das Betrachten in der Voransicht Schadcode ausführen. Microsoft behebt den Fehler mit seinem Sicherheitsupdate im Januar. Bis dahin sollten Anwender E-Mails ausschließlich im Nur-Text-Format lesen.
Teil eines Gebäudes mit Microsoft-Schriftzug und Microsoft-Logo

© Adobe Stock

Ausnutzung wahrscheinlich

In den meisten Fällen muss man irgendetwas öffnen, damit Malware ausgeführt wird. Hier ist das anders. Allein schon durch das Auswählen einer präparierten E-Mail und die anschließende Anzeige im Vorschaufenster kann Schadcode ausgeführt werden. Deshalb ist derzeit besondere Vorsicht geboten. Jedoch kann auch das Öffnen der E-Mail bewirken, dass eventuell enthaltene Schadsoftware ausgeführt wird.

Microsoft und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor dieser Sicherheitslücke. Die Lücke hat die Kennung CVE-2025-21298 und einen CVSS-Base-Score von 9.8/10. Mit dem Januar-Update schließt Microsoft weitere Sicherheitslücken.

Das BSI bezeichnet die mögliche Angriffsweise als besorgniserregend. Es rechnet mit Angriffsversuchen. Auch Microsoft hält eine Ausnutzung für eher wahrscheinlich. Denn bereits in der Vergangenheit nutzten Angreifende vergleichbare Schwachstellen aus. Eine Ausnutzung dieser aktuellen Schwachstelle beobachtete der Hersteller allerdings bislang nicht.

Empfehlungen des BSI

Beachten Sie die Empfehlungen des BSI:

  • Spielen Sie das Januar-Sicherheitsupdate von Microsoft mit hoher Priorität ein.
  • Bis dahin: Konfigurieren Sie Outlook so, dass E-Mails ausschließlich im Nur-Text-Format angezeigt und geöffnet werden. Anweisungen hierfür finden Sie im vollständigen Artikel des BSI in den Links unten.
    Als Folge werden E-Mails ohne Bilder, besondere Schriftarten, Animation und dergleichen angezeigt.