Exploits für Lücken in MS Word und WordPad aufgetaucht
Die präparierten Dokumente bringen zwar lediglich die Programme zum Absturz, es soll sich durch die Lücken aber auch beliebiger Schadcode einschleusen lassen.
- Christiane Rütten
Sicherheitsexperten haben Demo-Exploits für bislang ungepatchte Schwachstellen in Microsoft Word und WordPad veröffentlicht, die die Programme abstürzen lassen. Die Schwachstelle in Word, die der Exploit-Autor Ivan Sanchez laut seinem Advisory unter Office 2000 und 2003 unter Windows XP mit SP2 und SP3 nachvollziehen konnte, soll auf einem Programmierfehler bei der Verarbeitung von ungeordneten Listen basieren. Über die WordPad-Lücke, die Version 5.1 unter XP mit SP2 und SP3 betreffen soll, sind keine Einzelheiten bekannt. Wahrscheinlich sind auch andere Produktversionen betroffen.
Sanchez vermutet, dass Angreifer aufgrund der Art der beiden Schwachstellen auch beliebigenen Schadcode ausführen lassen können. Außerdem warnt er davor, dass die Lücke derzeit aktiv ausgenutzt wird. Hierzu macht er allerdings keine näheren Angaben. WordPad ist in einer Standard-Windows-Installation enthalten. Bis Microsoft Patches zur Verfügungs stellt, sollten Anwender derzeit daher vorsichtig beim Öffnen von unbekannten DOC-Dateien sein, selbst wenn sie stets alle Updates einspielen. (cr)