Excel 2016 kann nach Nov. 2024 Update KB5002653 keine Add-Ins mehr laden

[English]Zum 12. November 2024 hat Microsoft das Sicherheitsupdate KB5002653 für Microsoft Excel 2016 (MSI-Version) veröffentlicht, um diverse Schwachstellen zu schließen. Nach Installation des Updates lassen sich keine Add-Ins mehr laden.


Anzeige

Update KB5002653 für Microsoft Excel 2016

Ich habe es im Blog-Beitrag Patchday: Microsoft Office Updates (12. November 2024) kurz erwähnt. Für Microsoft Excel 2016 (MSI-Version) hat Microsoft zum 12. November 2024 das Sicherheitsupdate KB5002653 veröffentlicht.

Dieses Sicherheitsupdate dient dazu, die Remote Code Execution-Schwachstellen CVE-2024-49026 (Improper Neutralization of Special Elements used in a Command ('Command Injection')), CVE-2024-49027 (Use After Free, CVSS 3.1 Score 7.8), CVE-2024-49028 (Out-of-bounds Read), CVE-2024-49029 (Use of Uninitialized Resource) und CVE-2024-49030 (Heap-based Buffer Overflow) zu schließen. Alle die RCE-Schwachstellen wurden mit einem CVSS 3.1 Score von 7.8 als important bewertet.

Die Schwachstellen finden sich auch in den Click-2-Run-Varianten von Microsoft Excel und wurden dort mit den Updates vom 12. November 2024 geschlossen.

Excel 2016 kann keine Add-Ins mehr laden

Ein Blog-Leser hatte sich per Mail zum 13. November 2024 gemeldet und merkte an, dass  bei ihm nach der Installation des Updates KB5002653 beim Start von Excel keine Addins mehr geladen werden (ich hatte es im Beitrag Patchday: Microsoft Office Updates (12. November 2024) erwähnt). Das scheint aber kein Einzelfall zu sein.


Anzeige

Analyse des Fehlers

In diesem Kommentar meldet Blog-Leser kheldorn den gleichen Fehler. Seit der Installation der Office Updates für Office 2016 bemerkt er ebenfalls Probleme mit dem Laden von Add-Ins. Der Leser hat in der Ereignisanzeige unter "Microsoft Office Alerts" unter "Applications and Services Logs" nachgesehen. Excel versucht beispielsweise die Datei:

"C:\Users\username\AppData\Roaming\Microsoft\AddIns\LASSIST.XLA"

zu laden, obwohl diese in Wirklichkeit "VLASSIST.XLA" benannt wurde. In der Ereignisanzeige finden sich Einträge der Art:

Microsoft Excel

Wir konnten 'C:\Users\username\AppData\Roaming\Microsoft\AddIns\LASSIST.XLA' nicht finden. Wurde das Objekt vielleicht verschoben, umbenannt oder gelöscht?

P1: 100202
P2: 16.0.5474.1000
P3:
P4:

Der Leser hat herausgefunden, dass ein manuelles Entfernen des falschen Add-In-Eintrags und anschließend erneutes Hinzufügen des Add-Ins das Problem temporär behebt. Das Add-In kann wieder geladen werden und funktioniert dann kurzzeitig.

Es gibt erste Workarounds

Nach einem Neustart von Excel 2016 ist der Fehler aber wieder da, das Add-In kann nicht geladen werden, da es mit falschem Dateinamen gesucht wird. Benennt man die Datei z.B. in "LASSIST.XLA" um, so lädt Excel 2016 das Addin korrekt, solange man es mit dem Namen "VLASSIST.XLA" eingebunden lässt. Ist vermutlich die bessere Variante, als das Update KB5002653 zu deinstallieren.

Für den Fall, dass der Laufwerksbuchstabe zum Add-In abgeschnitten wird, hat viebrix hat hier noch einen Workaround skizziert. Einfach das Laufwerk mit Doppelbuchstaben als Netzlaufwerk verbinden, und dort das Add-In registrieren. Dann wird der erste Buchstabe durch den Bug entfernt und es funktioniert wieder mit dem Laden des Add-Ins.

Zudem sollte sich der Pfad auf das Add-In in der Registrierung anpassen lassen. Es ist eine benutzerdefinierte Einstellung unter

HKEY_CURRENT_USER\SOFTWARE\Microsoft\office\16.0\excel\options

Diesen Workaround hat Leser MB in diesem Kommentar beschrieben – ob das immer (wie hier skizziert) funktioniert, kann ich nicht sagen – Problem ist halt, dass das dann nicht mehr funktioniert, wenn Microsoft einen Fix ausrollt.

Meldungen auf reddit.com

Der Fehler betrifft mehr Nutzer. Blog-Leser kheldorn wies in einem Kommentar auf den reddit.com-Beitrag Office addins broken after updates ? hin, wo ein weiterer Nutzer dieses Fehlerbild in Microsoft Excel 2016 berichtet und fragt, ob jemand sonst betroffen ist. Dort hat kheldorn seine obigen Erkenntnisse ergänzt.

Es gibt einen zweiten reddit.com-Beitrag KB5002653 breaks Excel xla & xlam add-ins, wo dieses Fehlerbild ebenfalls beschrieben wird. Der Thread-Starter merkt an, dass beim Testen von KB5002653 (Sicherheitsupdate für Excel 2016) festgestellt wurde, dass das Laden von xla(m) Excel-Add-Ins kaputt ist. Excel lädt die Add-Ins nicht, weil das erste Zeichen des Pfades zur Add-Ins-Datei abgeschnitten wird. Das führt dazu, dass die Add-In-Datei nicht gefunden wird. Danke an kheldorn für den Hinweis.

Microsoft bestätigt den Bug und liefert Workaround

Gemäß diesem Kommentar von kheldorn hat Microsoft inzwischen den Bug im Beitrag Description of the security update for Excel 2016: November 12, 2024 (KB5002653) im "Known issues"-Abschnitt bestätigt.

Nach der Installation dieses Updates werden Excel-Add-Ins, die bei der letzten Verwendung von Excel aktiviert waren, möglicherweise nicht ordnungsgemäß geladen, wenn Sie Excel öffnen.

Der dort vorgeschlagene Workaround: Um dieses Problem zu umgehen, öffnen Sie die Add-Ins manuell, indem Sie auf sie doppelklicken oder Datei > Öffnen wählen.

Ergänzung: Der Bug wurde mit einem Update behoben, siehe Update KB4484305: Fix für Excel 2016 Add-In-Ladebug.

Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)
Patchday: Microsoft Office Updates (12. November 2024)


Anzeige

Dieser Beitrag wurde unter Office, Störung, Update abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Excel 2016 kann nach Nov. 2024 Update KB5002653 keine Add-Ins mehr laden

  1. M.D. sagt:

    Sieht nach dem klassischen Index-Fehler aus.

  2. StefanP sagt:

    Danke für die Infos.
    Gerade kam ein Kollege zur Tür rein und sagte, dass Excel 2016 beim Start eine Fehlermeldung ausgibt. Handelt sich anscheinend um ein Plug-in seines Barcode-Druckers, welches nicht mehr geladen werden kann. Werde ich gleich mal genauer untersuchen…

    • StefanP sagt:

      Update:
      Das Fehlerbild ist das gleiche, wie bereits berichtet. Der erste Buchstabe "fehlt" im Excel Aufruf des Plug-Ins.
      Workaround funktioniert wie oben von kheldorn beschrieben. Ich habe die Datei mit dem Plug-In kopiert und passend umbenannt (Hier war es eine XLAM Datei).
      Und voila: Fehlermeldung ist weg und die Funktionalität (Barcodeerstellung und -druck) ist auch wieder vorhanden.

  3. Froschkönig sagt:

    Was ein Schrott. Der Workarround mag zwar funktionieren, aber wenn der Fehler mal behoben wird, muss man wieder zurück umbenennen. Also besser eine Kopie der XLA-Dateien unter dem verkürzten Namen anlegen. Dann hat man beide Varianten. Und wenn man hunderte Benutzer hat, bei denen XLA-Dateien umbenannt werden müssen, hat man ganz viel Spaß.

  4. Bolko sagt:

    Wie benennt man das Add-In um, wenn das erste fehlende Zeichen nicht im Dateinamen fehlt, sondern beim Laufwerkbuchstaben, wenn das Add-In also mit dem gesamten Pfad verlinkt ist?

    "C:\Program Files (x86)\JetReports\JetReports.xll"
    ->
    ":\Program Files (x86)\JetReports\JetReports.xll"
    ?

    Umbenennen zu "etReports.xll" bringt in so einem Fall nichts.

    Siehe Fehlerbeschreibung dort:
    https://www.borncity.com/blog/2024/11/13/microsoft-security-update-summary-12-november-2024/#comment-199045

    • StefanP sagt:

      Hier war es so, dass der Pfad komplett angegeben war (Ordner + Dateiname). Der Pfad war vollständig. Es fehlte "nur" der erste Buchstabe im Dateinamen.

      Edit: Sorry, hilft natürlich im von dir zitierten Fall nicht

    • viebrix sagt:

      Das Laufwerk nochmals mit Doppelbuchstaben als Netzlaufwerk verbinden, dort das Addin registrieren
      "CC:\\\\Program Files (x86)\JetReports\JetReports.xll"
      dann geht der erste Buchstabe des Laufwerks verloren und sollte wieder auf das normale C-Laufwerk zugreifen.
      Aber ich habe noch nie Doppelbuchstaben probiert, angeblich soll es seit W2k gehen.
      Aber ich hoffe mal dass MS hier schnell reagiert und man solche wahnsinnigen Workarounds nicht benötigt…

    • Gänseblümchen sagt:

      Ohjeee, was sind das denn für Programmier-Anfänger-Fehler die da bei MS verbockt wurden? Stringlänge nicht richtig ermittelt und dann falsch abgeschnitten.

    • Christian König sagt:

      Entweder registrierst du das Add-In so wie "viebrix" beschrieben oder du wagst dich in die Registry und änderst den folgenden Eintrag um:

      HKEY_USERS\SID-DES-BENUTZERS\Software\Microsoft\Office\16.0\Excel\Options

      Dort den Wert /R "C:\Program Files (x86)\JetReports\JetReports.xll" des Eintrags "OPEN" auf folgenden Wert ändern:

      /R "CC:\Program Files (x86)\JetReports\JetReports.xll"
      (einfach ein zweites C reinschreiben).

      Dann testen und Excel öffnen.

      Bei mir war der Fehler weg.

      Such am besten nach dem "String": /R "C:\Program Files (x86)\JetReports\JetReports.xll"

      dann solltest du schnell zu dem "Pfad" in der Registry kommen.

      Mach dir vorher ein Backup und dokumentier das.
      Mit einem nächsten Update von Microsoft könnte das eigentliche Problem ja behoben werden und dieser Workaround nicht mehr funktionieren, sprich: du musst den Eintrag wieder rückgängig machen.

      Viele Grüße

  5. kheldorn sagt:

    Inzwischen hat Microsoft das Problem bestätigt, siehe https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-excel-2016-november-12-2024-kb5002653-189190cb-3ae5-47ac-b85a-ca9815cff793

    "After you install this update, Excel add-ins that were enabled the last time you used Excel may not load properly when you open Excel. To work around this issue, open the add-ins manually by double-clicking them or selecting File > Open."

  6. MB sagt:

    Alternativ kann man den Startpfad auch in der Registry anpassen. Dieser befindet sich unter "Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\office\16.0\excel\options" unter der Zeichenfolge OPEN. Wenn Du hier den Wert um ein zusätzliches C erweiterst, wird das AddIn korrekt geladen.

    Ob ich das hier allerdings so ausrollen wollen würde, bin ich mir noch unsicher.

    • Günter Born sagt:

      Danke, hatte das auch im Sinn – wollte den Pfad aber noch eruieren.

    • Bernhard Diener sagt:

      Diese Pfadanpassung funktioniert bei mir nicht. Ein zusätzliches c ändert nur die Fehlermeldung insofern, dass sie nun korrekt mit c: backslash program files… startet, jedoch nun aber den letzten Buchstaben des Addins abschneidet. Diesen ebenfalls doppelt in die Registry zu schreiben, bringt nichts! Somit ist dieser Workaround wirkungslos.

      Backslash habe ich ausgeschrieben, weil die Forensoftware sonst gar keinen dargestellt hätte, Günter.

  7. Anonymous sagt:

    Unser Softwarehersteller teilt uns mit, dass sie kontakt zu Microsoft hergestellt hat und angeblich sagte MS zu denen, dass Add In unter Office 2016 nicht mehr genutzt werden soll, aufgrund der Sicherheit. Es sei kein Bug sondern ein Feature ;)

  8. DavidXanatos sagt:

    Microsoft stirbt mit "Sicherheit" LOL

    Was windows so groß gemacht hat ist mit unter die riesige Freiluftorgie welche alle Win 32 apps untereinander veranstalten können daraus kommen die ganzen plugins und Erweiterungen und Integrationen von apps unterschiedlicher Anbieter unter einander.
    Besonders beliebt wen alles und jeder in office apps rein kommt.
    Adobe, Endnote, Origin, alles mögliche.

    Daraus ergibt sich MSFTs Markt Dominanz durch das die ganze Programme in die windows Umgebung integriert sind, wenn in Zukunft jede app nur noch ihr eigenes ding durch zieht wird es nur ein kleiner schritt die app auch für eine andere platform zu portieren.

    Die sägen sich auch die office Dominanz ein stuck weg damit ab.

    Klar Sicherheit ist gut aber zu viel davon beeinträchtigt die usability und IMHO wenn MSFT da nicht aufpasst schießen sie sich damit ins Knie.

  9. Jan sagt:

    MS hat gestern das KB5002653 mit KB4484305 gefixt. Laut Artikel [1] ist ein manueller Download (bzw. Import in WSUS) notwendig. Habe es noch nicht getestet.

    [1] https://support.microsoft.com/en-us/topic/november-19-2024-update-for-excel-2016-kb4484305-c7fdc4c1-5061-c276-254f-5a090a462e4a

    • Sascha Kramer sagt:

      Wir konnten es heute testen, funktioniert und verursacht keine anderen Probleme.

    • Davorin Scharping sagt:

      Leider finde ich KB4484305 nicht im Update Catalog. Daher kann ich es nicht über den WSUS verteilen. Das macht die Verteilung auf dutzende Clients und Terminalserver sehr aufwändig :-(
      Und da der manuelle Download im obigen Link nur in englischer Sprache zur Verfügung steht, ist auch noch zu prüfen, ob das Update überhaupt mit einer deutschen Office Installation zusammen arbeitet.

  10. Gero sagt:

    Ich habe gestern KB4484305 auf unserer deutschen Installation ausgerollt. Addins funktionieren wieder problemlos und bisher keine anderen Probleme aufgetreten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.