Peringatan Ancaman

Microsoft merilis patch untuk kerentanan eksekusi kode jarak jauh (RCE) di Outlook yang dapat dimanfaatkan penyerang untuk menjalankan kode berbahaya di perangkat korban. Celah ini dilacak sebagai CVE-2025-62562, memiliki skor CVSS 7.8 (Important), dan diumumkan pada 9 Desember 2025.

Apa masalahnya?

Kerentanan ini berasal dari bug use-after-free di Microsoft Outlook. Untuk mengeksploitasinya, penyerang harus mengirim email yang sudah direkayasa khusus dan meyakinkan korban untuk membalas email tersebut. Saat pengguna menekan tombol reply ke email berbahaya itu, rangkaian eksekusi kode dapat dipicu sehingga penyerang berpeluang menjalankan perintah berbahaya di sistem korban.

Berbeda dengan beberapa bug Outlook lain, Preview Pane tidak bisa digunakan sebagai vektor serangan untuk CVE ini. Artinya, eksploitasi tetap membutuhkan interaksi pengguna (user harus benar‑benar menekan Reply), tetapi risiko tetap nyata karena teknik social engineering bisa membuat korban merasa email tersebut sah.

Produk yang terdampak

Kerentanan ini memengaruhi beberapa versi Microsoft Office dan SharePoint, antara lain:

• Microsoft Word 2016 (32-bit & 64-bit) – patch tersedia (misalnya melalui pembaruan KB5002806)

• Microsoft Office LTSC 2019, 2021, 2024 (32-bit & 64-bit) – patch tersedia

• Microsoft Office 2019 (32-bit & 64-bit) – patch tersedia

• Microsoft 365 Apps for Enterprise (32-bit & 64-bit) – patch tersedia

• Microsoft SharePoint Server 2019 – semua edisi, patch tersedia

• Microsoft SharePoint Enterprise Server 2016 – semua edisi, patch tersedia

• Microsoft Office LTSC for Mac 2021 & 2024 – patch belum tersedia, akan dirilis menyusul

Untuk Word 2016, salah satu build aman yang disebutkan adalah 16.0.5530.1000 setelah update.

Rekomendasi untuk admin dan pengguna

• Segera install update keamanan melalui Windows Update atau Microsoft Download Center pada seluruh perangkat yang menjalankan versi Office/SharePoint terdampak.

• Admin yang mengelola banyak endpoint harus memastikan patch digelar ke semua arsitektur (32-bit dan 64-bit) sesuai standar deployment internal.

• Untuk pengguna Office LTSC for Mac 2021/2024 yang belum mendapat patch:

  • Lebih waspada terhadap email yang tidak dikenal.

  • Hindari membalas email mencurigakan, terutama yang tampak memaksa, mendesak, atau tidak relevan.

Secara umum, organisasi disarankan memperkuat edukasi pengguna terkait phishing dan social engineering, karena keberhasilan eksploitasi sangat bergantung pada interaksi pengguna dengan email berbahaya.

Status eksploitasi

Hingga saat artikel ini dibuat, tidak ada bukti eksploitasi aktif di alam liar maupun publikasi kode eksploit. Kerentanan ini dilaporkan secara terkoordinasi oleh Haifei Li dari EXPMON, dan Microsoft telah merilis patch sebagai bagian dari siklus pembaruan keamanan resmi.

Sumber Referensi

• CyberSecurityNews – “Microsoft Outlook Vulnerability Let Attackers Execute Malicious Code Remotely (CVE-2025-62562)”
  https://cybersecuritynews.com/microsoft-outlook-vulnerability-let-attackers-execute-malicious-code-remotely/

• Microsoft Security Response Center (MSRC) – CVE-2025-62562 Security Update Guide
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62562