Doch keine neue Lücke in PowerPoint

Warnungen vor einer angeblich neuen Lücke in PowerPoint machen derzeit die Runde. Ausgangspunkt der Berichte war eine Beschreibung des Herstellers Trend Micro zu dem Trojaner TROJ_MDROPPER.BH, der eine bislang unbekannte Lücke in PowerPoint ausnutzen soll. Das Internet Storm Center wies darauf in seinem Diary hin, was das Sicherheitsportal Securiteam zum Anlass nahm, eine FAQ zu dem Problem zu veröffentlichen und sie auf diversen Sicherheitsmailinglisten zu posten – offenbar ohne selbst jemals ein Exemplar des Schädlings untersucht zu haben. Sogar ein neuer CVE-Eintrag soll nach Angaben von Juha-Matti Laurio, dem Autor der FAQ, angelegt worden sein.

Mittlerweile hat Trend Micro seine Beschreibung des Trojaners aktualisiert. Derzufolge nutzt der Schädling eine bereits im März bekannte Lücke in Office (MS06-012) aus, die auf den meisten Windows-Rechnern längst geschlossen sein dürfte. Ein Test der heise-Security-Redaktion mit einem Sample des Trojaner auf einem Windows XP SP2 bestätigte dies: Es passierte nichts. Microsoft hat gegenüber US-Medien erklärt, dass man bei eigenen Analysen ebenfalls zu dem Schluss gekommen ist, dass es sich hierbei um eine alte Lücke handelt.

Zwar ist die Gefahr einer Infektion damit relativ gering. Entwarnung kann jedoch trotzdem nicht gegeben werden. Immerhin erkannten gestern nur wenige Virenscanner den neuen Trojaner. Anwender, die sich Office nachträglich installieren, sollten sicherstellen, dass Windows die Patches über das automatische Update installiert hat.

Siehe dazu auch: (dab)

• Microsoft PowerPoint 0-day Vulnerability FAQ - August 2006,, Beschreibung von Securiteam
• TROJ_MDROPPER.BH, Beschreibung von Trend Micro