Microsoft: Warnung vor Angriffen auf ungepatchte Word-Lücke veröffentlicht

Microsoft hat vor einer neuen Zero-Day-Lücke in Word gewarnt, die bereits aktiv von Hackern ausgenutzt wird. Sie richten sich bisher ausschließlich gegen Word 2010, aber auch alle anderen Versionen der Textverarbeitung inklusive Office für Mac 2011 sind betroffen. Ein Fix-it-Tool soll Schutz bieten.

Die Zero-Day-Lücke wird bereits aktiv von Hackern ausgenutzt. Die Angriffe richten sich nach Angaben von Microsoft bisher ausschließlich gegen Word 2010. Demnach ist es möglich, mithilfe eines speziell präparierten Dokuments im Rich Text Format (RTF) Schadcode einzuschleusen und auszuführen.

Logo von Microsoft Wordschließen

Davon betroffen sind aber auch Word 2003, 2007, 2010, 2013 und 2013 RT. Der Fehler steckt der Sicherheitswarnung zufolge aber auch in Office für Mac 2011, Word Viewer, Office Compatibility Pack sowie den Word Automation Services unter SharePoint 2010 und 2013. Auch die Office Web Apps 2010 und der Office Web Apps Server 2013 sind anfällig.

Darüber hinaus weist Microsoft darauf hin, dass sich die Schwachstelle auch ausnutzen lässt, wenn eine E-Mail, die eine manipulierte RTF-Datei enthält, in Outlook angezeigt wird. Dafür muss allerdings Word als E-Mail-Viewer in Outlook eingestellt sein.

Als Behelfslösung hat das Unternehmen ein Fix-it-Tool bereitgestellt. Es verhindert, dass RTF-Dateien mit Word geöffnet werden. Für Nutzer, die auf das Dateiformat angewiesen sind, könnte die Lösung allerdings ein Problem darstellen. Sie können alternativ das Enhanced Mitigation Experience Toolkit (EMET) verwenden, um die Folgen eines Angriffs zu minimieren.

Microsoft arbeitet nach eigenen Angaben schon an einem Patch für die Lücke. „Wir beobachten die Bedrohungslage sehr genau und werden weiterhin die notwendigen Maßnahmen ergreifen, um unsere Kunden zu schützen“, schreibt Microsoft-Sprecher Dustin Childs im Blog des Security Response Center. Er nannte allerdings keinen Zeitplan für die Veröffentlichung eines Sicherheitsupdates. Microsofts nächster Patchday findet am 8. April statt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Microsoft: Warnung vor Angriffen auf ungepatchte Word-Lücke veröffentlicht

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *