Microsoft rät zur Nutzung von Word im Safe Mode [Update]
Der Softwarekonzern empfiehlt, bis zur Verfügbarkeit eines Patches voraussichtlich Mitte Juni die Textverarbeitung im "Abgesicherten Modus" zu betreiben.
- Daniel Bachfeld
Microsoft hat zu der kritischen Sicherheitslücke in Word 2002 und Word 2003 ein Security Advisory veröffentlicht, in dem die Redmonder empfehlen, bis zur Verfügbarkeit eines Patches Word im Abgesicherten Modus zu betreiben. Dazu muss der Anwender die Textverarbeitung über die Befehlszeile mit der Zusatzoption /safe starten oder eine Verknüpfung mit winword.exe /safe auf dem Desktop ablegen.
Der Safe Mode für Office ermöglicht es dem Anwender etwa Word und Excel zu starten, auch wenn Probleme mit dem zu öffnenden Dokument aufgetreten sind. Dazu schaltet Office aber einige Funktionen beim Aufruf ab. Unter anderem soll dies nach Angaben der Redmonder auch verhindern, dass der in präparierten Dokumenten versteckte Schadcode ausgeführt wird. Allerdings funktionieren dann auch einige andere Funktionen nicht mehr. Beispielsweise lassen sich Templates nicht abspeichern, Smart Tags werden nicht geladen und vom Anwender konfigurierte Toolbars ebenfalls ignoriert. Eine vollständige Liste der Einschränkungen führt Microsoft hier auf: About Office Safe Mode.
Der Schutz durch den Abgesicherten Modus funktioniert allerdings nur, wenn Anwender künftig Word-Dokumente im Anhang einer E-Mail nicht direkt per Doppelklick öffnen, sondern zunächst speichern und anschließend mit der Safe-Word-Version öffnen. Wer ganz sichergehen will, kann aber unter der Verknüpfung der Dateitypen im Windows Explorer ebenfalls die Option /safe hinzufügen. Nach der Installation des für den 13. Juni angekündigten Patches müssen diese Änderungen aber rückgängig gemacht werden. Ob Word im Abgesicherten Modus läuft, sieht man an der oberen Titelleiste.
Laut Andreas Marx von AV-Test hat sich die Erkennungsrate der Virenscanner für den Word-Exploit weiter verbessert. Vollständig generisch (also inklusiver aller zukünftigen Varianten von Word-Dateien, die die gleiche Schwachstelle ausnutzen) erkennen den Exploit in der DOC-Datei bisher nur AntiVir, BitDefender und Nod32. Die derzeit im Umlauf befindlichen präparierten Dokumente und auf dem infizierten PC abgelegten EXE-Dateien erkennen AntiVir, AVG, BitDefender, Dr Web, eTrust-INO, eTrust-VET, F-Secure, Fortinet, Kaspersky, McAfee, Microsoft, Nod32, Panda, QuickHeal, Symantec/Norton und Trend Micro. Nur die EXE-Dateien, aber nicht die Word-Dateien mit dem Exploit erkennen Avast!, ClamAV, Command, eSafe, F-Prot, Ikarus, Norman, Sophos, VBA32 und VirusBuster (Stand der Testergebnisse: heute, 10:30 h dt. Zeit).
Siehe dazu auch: (dab)
- Vulnerability in Word Could Allow Remote Code Execution, Fehlerbericht von Microsoft