Dritte Word-Lücke innerhalb von zehn Tagen

Eine dritte ungepachte Sicherheitslücke hat sich in Word aufgetan, über die Angreifer mittels präparierter Dokumente einen Rechner beim Öffnen infizieren könnten. Ein öffentlich verfügbarer Exploit zeigt, wie man den Stack kontrolliert überschreibt. Word stürzt dabei aber bislang nur ab. Zuvor haben andere Angreifer schon versucht, die Lücke gezielt auszunutzen und Code einzuschleusen. Laut McAfee seien unter anderem am Sonntag drei Mitarbeiter eines bekannten Unternehmens per Mails mit präparierten Word-Dateien attackiert worden.

Microsoft ist über die Lücke informiert und untersucht das Problem. Im Blog des Security Response Teams ist aber noch keine weitere Information verfügbar. Wie schon bei den zwei zuvor gemeldeten Lücken in Word gibt es auch diesmal kaum Informationen. Der Sicherheitsdienstleister eEye geht zwar auch in seiner Zero-Day-Tracking-Liste von einer neuen Lücke aus, schließt aber nicht gänzlich aus, dass der verfügbare Exploit doch nur eine der zwei bereits gemeldeten Lücken ausnutzt. Allerdings zeigt das letzte Halbjahr, dass Exploits für Lücken in Office mittlerweile im Monatsrhythmus auftauchen. Drei Lücken in acht Tagen sind also nicht wirklich überraschend, im Sommer dieses Jahres traf es PowerPoint ungewöhnlich oft.

Ein Patch steht nicht bereit – für alle drei Lücken nicht. Anwender sollten erwägen, auf andere Produkte auszuweichen, etwa auf OpenOffice. Ist dies nicht möglich, sollten Word-Dokumente, egal aus welcher Quelle sie angeblich stammen, nur nach vorheriger Nachfrage beim Absender oder Autoren geöffnet werden. Bei früheren Lücken in Word konnten sich Anwender durch Aktivieren des Safe Mode vor der Infizierung über bösartige Dokumente schützen. Allerdings ist unbekannt, ob dies bei den neuen Lücken auch hilft.

Siehe dazu auch:

• Word 12122006-djtest.doc, Fehlerbericht von eEye
• Microsoft rät zur Nutzung von Word im Safe Mode, Meldung auf heise Security

(dab)