Weitere Schwachstelle in Microsoft Office
Eine weitere Schwachstelle in Microsofts Office-Paketen könnten Angreifer zum Einschleusen von Schadcode missbrauchen.
Ein weiteres Sicherheitsleck in Microsofts Office könnten Angreifer etwa über manipulierte Word-Dokumente ausnutzen, um Schadcode auf betroffene Systeme einzuschleusen. Der Entdecker der Lücke, Naveed Afzal, stellt ein Dokument bereit, das die Schwachstelle nutzt, um einen Absturz der Anwendung zu verursachen.
Das Dokument erzeugt einen Pufferüberlauf in der Funktion LsCreateLine in der Funktionsbibliothek mso.dll. Laut Afzal kann man den so kontrolliert herbeiführen, dass dabei Code aus dem Dokument im Kontext des angemeldeten Users ausgeführt wird. Betroffen sind dem Proof-of-Concept-Code zufolge Office 2000, XP und 2003. Bei Office 97 dagegen reagierte Word bei einem Test durch heise Security auf das Dokument mit Herumspringen zwischen den einzelnen Seiten, stürzte jedoch nicht ab. Ob Microsoft die Lücke am morgigen Patchday abdichten wird, ist unklar.
Siehe dazu auch: (dmk)
- MS Word Unchecked Boundary Condition Vulnerability - POC, Sicherheitsmeldung von Naveed Afzal auf Full Disclosure