Zweite ungepatchte Lücke in Office 2007
Rund vier Wochen nach Veröffentlichung von Office 2007 gibt es bereits zwei ungepatchte Lücken. Die neueste steckt im Publisher und eignet sich wie die erste zum Einschleusen von Code.
- Daniel Bachfeld
Schon am 16. Februar will der Sicherheitsdienstleister eEye Microsoft über eine kritische Sicherheitslücke in Publisher 2007, einer Komponente von Office 2007, informiert haben. Bislang gibt es aber weder aus Redmond noch von eEye genauere Details zu dem Problem. Fest steht nur, dass sich über die Lücke Code auf einen Windows-PC schleusen und mit den Rechten des angemeldeten Nutzers ausführen lässt. Wahrscheinlich muss das Opfer dazu ein präpariertes Dokument öffnen, das beispielsweise als Anhang einer Mail oder durch den Download von einer Webseite auf den Rechner gelangt. Insbesondere letzteres ist bei der Suche nach einer geeigneten Layout-Vorlage im Web für eigene Dokumente nicht unwahrscheinlich.
Ob die Lücke allerdings bereits aktiv ausgenutzt wird, ist unbekannt. Eine Mitte Februar entdeckte Lücke in Word unter Office 2000 XP, 2003 und 2007 wird derweil schon aktiv genutzt. Rund vier Wochen nach Veröffentlichung von Office 2007 gibt es somit bereits zwei ungepatchte Lücken. Für die Word-Lücke ist ein Patch zwar in Arbeit, noch steht er aber nicht zur Verfügung.
Darüber hinaus steht Office 2007 in der Kritik, Daten ungefragt an ein Marktforschungsinstitut zu verschicken. Microsoft beteuert jedoch, dass darin weder Personendaten stecken noch das System ausspioniert würde.
Siehe dazu auch:
- Upcoming Advisories EEYEB-20070216, Fehlerbericht von eEye
- Microsoft Office 2007 flüstert übers Netz, Meldung auf heise Security
(dab)
