Schwachstellen in Microsoft Word
Präparierte Word-Dokumente bringen Word zum Absturz. Eventuell ermöglicht der Fehler auch das Einschleusen von beliebigem Code.
Auf mehreren Sicherheitsmailinglisten ist ein Posting des Sicherheitsspezialisten HexView erschienen, der Schwachstellen in Microsoft Word gefunden haben will. Durch die fehlende Überprüfung der an den Word-Parser übergebenen Daten können präparierte Dokumente (.doc) Fehler provozieren, die unter Umständen zu Sicherheitsproblemen führen.
Beim ersten Fehler versucht winword.exe auf ungültige Speicherbereiche zuzugreifen, was allerdings nur zum Absturz der Applikation führt. Der zweite Fehler lässt sich nach Angaben von HexView aber eventuell ausnutzen, um Code in ein System zu schleusen und auszuführen. Laut Advisory ist der Fehler in Word 2002 enthalten, Word 2000 soll aber ebenfalls verwundbar sein. Ein Patch steht derzeit noch nicht zur Verfügung, bislang ist Microsoft aber noch nicht über das Problem informiert worden. HexView ist der Ansicht, dass sich die Hersteller bei weiteren Fragen an ihn wenden müssen.
Anwender sollten nur Dokumente öffnen, deren Herkunft sie nachvollziehen können und die sie als vertrauenswürdig einstufen. Ein Word-Dokument kann nicht nur per Mail auf das System eines Anwenders gelangen, sondern auch in Webseiten eingebettet sein. So verwendet beispielsweise der Internet Explorer Word zur Anzeige von .doc-Dateien, das beim Klick auf ein Dokument automatisch geöffnet wird.
Siehe dazu auch: (dab)
- Security Advisory von HexView
