Een kritieke kwetsbaarheid in Windows maakt remote code execution mogelijk als Outlook-gebruikers een speciaal geprepareerde e-mail openen of wanneer het bericht via de previewfunctie wordt weergegeven. Microsoft heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te dichten en adviseert Outlook-gebruikers als workaround het plain text weergeven van e-mail. Het techbedrijf verwacht dat aanvallers binnenkort misbruik van het beveiligingslek zullen maken.

De kwetsbaarheid (CVE-2025-21298) bevindt zich in Windows OLE. Object Linking and Embedding (OLE) is een door Microsoft ontwikkelde technologie die het mogelijk maakt om documenten en andere objecten te embedden en linken. Het beveiligingslek is via e-mail te misbruiken. Een aanvaller zou het doelwit een speciaal geprepareerde e-mail kunnen sturen. Het doelwit moet de e-mail openen of Outlook moet een preview van het bericht weergeven. Vervolgens kan de aanvaller code op het systeem uitvoeren, zo laat Microsoft weten.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Als workaround adviseert Microsoft het instellen van Outlook zodat e-mail in plain text wordt weergegeven. Dit kan echter wel gevolgen hebben als het gaat om het weergeven van bijvoorbeeld afbeeldingen, animaties en bepaalde fonts.

"Als een mitigatie kun je Outlook instellen om standaard alle e-mail als plain text weer te geven, maar gebruikers zullen waarschijnlijk tegen een dergelijke instelling in verzet komen. De beste optie is om deze patch snel te testen en uit te rollen", aldus Dustin Childs van securitybedrijf Zero Day Initiative (ZDI). Het ZDI rapporteerde de kwetsbaarheid bij Microsoft. Het techbedrijf stelt dat aanvallers nog geen misbruik van de kwetsbaarheid maken, maar stelt voor de toekomst dat 'exploitation more likely' is.