Vierte ungepatchte Lücke in Word

Ein neuer Trojaner dringt Berichten von Symantec zufolge über eine bislang unbekannte Lücke in Word in Windows-PCs ein. Der Trojan.Mdropper.W genannte Schädling nutzt wahrscheinlich einen Buffer Overflow in Word, um über präparierte Dokumente Code in den Speicher zu schreiben und zu starten. Symantec gibt allerdings keine Details zu der Lücke an, auch ist nicht beschrieben, welche Word- beziehungsweise Office-Versionen betroffen sind. Neben den drei teilweise seit 6 Wochen bekannten, aber noch nicht gepatchten Lücken in Word wäre dies die vierte Lücke.

US-Medienberichten zufolge ist Microsoft über das Problem informiert und soll auch bereits Berichte über Angriffe auf Anwender erhalten haben. Diese sollen bislang nur in kleiner Zahl stattgefunden haben. Der Trojaner soll auf Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 und Windows XP lauffähig sein.

Unter anderem verbindet sich Mdropper.W mit einem Server, um weitere Befehle entgegenzunehmen. Nebenbei legt er auf der Festplatte die leere Word-Datei "Summary on China's 2006 Defense White paper.doc" an. Symantec stellt Signaturen bereit, mit denen der Scanner den Eindringling erkennen soll.

Da es keinen Patch gibt, sollten Anwender beim Öffnen unverlangt zugesandter Dokumente größte Vorsicht walten lassen und gegebenenfalls beim Absender nachfragen. Der Wechsel auf alternative Produkte wie OpenOffice schafft nicht immer Abhilfe, wie einer der Exploits für Word im Dezember demonstrierte: Er funktionierte auch beim Writer. Ob der Word-Viewer ebenfalls verwundbar ist, ist unbekannt. Derzeit stehen keine öffentlichen Exploits oder Samples des Schädlings zum Testen zur Verfügung. Unter Umständen könnte der Safe-Mode von Word das Risiko eines erfolgreichen Angriffs minimieren.

Siehe dazu auch:

• Trojan.Mdropper.W, Beschreibung von Symantec

(dab)