Neuer Word-Zero-Day aufgetaucht [Update]
Gerade wähnten Anwender ihr Windows-System nach dem Februar-Patchday wieder sicher, da tauchen Word-Dokumente auf, die eine Sicherheitslücke in der Textverarbeitung zum Einschleusen von Schadcode ausnutzen.
Gerade glauben Windows-Nutzer ihr Microsoft Office nach dem Februar-Patchday wieder gesichert zu haben, da tauchen Dokumente auf, die eine bislang unbekannte Sicherheitslücke in der Textverarbeitung zum Einschleusen von Schadcode ausnutzen. Microsoft spricht von sehr gezielten und begrenzten Angriffen, bei denen solch ein manipuliertes Dokument zum Einsatz kam.
Details zu der Sicherheitslücke veröffentlicht Redmond nicht. Das Unternehmen gibt lediglich an, dass durch eine präparierte Zeichenkette in einem Word-Dokument Speicherbereiche überschrieben werden könnten und sich auf diesem Weg Schadcode einschleusen ließe. Microsoft empfiehlt in einer Sicherheitsmeldung, dass Anwender Dokumente aus nicht vertrauenswürdigen Quellen meiden sollten. [Update]: Die Sicherheitslücke betrifft Word aus Office 2000 und Office XP; unter Office 2003, 2007 und dem Word-Viewer 2003 kann sie Microsofts Meldung zufolge nicht ausgenutzt werden.[/Update]
Die Entwickler arbeiten bereits an einem Update, das die Lücke schließen soll. Sicherheitshalber sollten Anwender der betroffenen Word-Versionen zumindest bis zur Verfügbarkeit eines Patches vor dem Öffnen von unverlangt zugesandten Word-Dokumenten beispielsweise telefonisch beim Absender nachfragen, ob dieser wirklich der Urheber der Nachricht ist oder den Word-Viewer einsetzen.
Siehe dazu auch:
- Vulnerability in Microsoft Word Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
(dmk)
