Microsoft warnt vor Angriffen auf ungepatchte Word-Lücke

Sie richten sich bisher ausschließlich gegen Word 2010. Es sind aber auch alle anderen Versionen der Textverarbeitung betroffen inklusive Office für Mac 2011. Ein von Microsoft bereitgestelltes Fix-it-Tool soll vor Angriffen auf die Lücke schützen.

Microsoft hat vor einer neuen Zero-Day-Lücke in Word gewarnt. Sie wird bereits aktiv von Hackern ausgenutzt. Die Angriffe richten sich nach Angaben des Unternehmens bisher ausschließlich gegen Word 2010. Demnach ist es möglich, mithilfe eines speziell präparierten Dokuments im Rich Text Format (RTF) Schadcode einzuschleusen und auszuführen.

Logo von Microsoft Word

Davon betroffen sind Word 2003, 2007, 2010, 2013 und 2013 RT. Der Fehler steckt der Sicherheitswarnung zufolge aber auch in Office für Mac 2011, Word Viewer, Office Compatibility Pack sowie den Word Automation Services unter SharePoint 2010 und 2013. Auch die Office Web Apps 2010 und der Office Web Apps Server 2013 sind anfällig.

Darüber hinaus weist Microsoft darauf hin, dass sich die Schwachstelle auch ausnutzen lässt, wenn eine E-Mail, die eine manipulierte RTF-Datei enthält, in Outlook angezeigt wird. Dafür muss allerdings Word als E-Mail-Viewer in Outlook eingestellt sein.

Als Behelfslösung hat das Unternehmen ein Fix-it-Tool bereitgestellt. Es verhindert, dass RTF-Dateien mit Word geöffnet werden. Für Nutzer, die auf das Dateiformat angewiesen sind, könnte die Lösung allerdings ein Problem darstellen. Sie können alternativ das Enhanced Mitigation Experience Toolkit (EMET) verwenden, um die Folgen eines Angriffs zu minimieren.

Microsoft arbeitet nach eigenen Angaben schon an einem Patch für die Lücke. „Wir beobachten die Bedrohungslage sehr genau und werden weiterhin die notwendigen Maßnahmen ergreifen, um unsere Kunden zu schützen“, schreibt Microsoft-Sprecher Dustin Childs im Blog des Security Response Center. Er nannte allerdings keinen Zeitplan für die Veröffentlichung eines Sicherheitsupdates. Microsofts nächster Patchday findet am 8. April statt.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Microsoft, Office, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

14 Kommentare zu Microsoft warnt vor Angriffen auf ungepatchte Word-Lücke

Kommentar hinzufügen
  • Am 25. März 2014 um 22:59 von PeerH

    Daran sollte sich Google ein Beispiel nehmen, und nicht einfach die A-Karte den ‚dummen‘ Anwendern zuschieben. Microsoft patcht, Google verdrängt.

    • Am 26. März 2014 um 9:21 von Chris

      Wenn man die Dinge nicht versteht, sollte man sich nicht dazu in der Art äußern…

      Das Fix it Tool verhindert einfach die generelle Verwendung von RTF Dokumenten… das ist kein Patch. Das wäre als würde man bei Android den Updateprozess(darauf zielt ihr Spruch ja wohl ab) einfach unterbinden, damit kein Gerät mehr updaten kann. Oder einfach keine Apps mehr installieren….Problem gelöst.
      Aber wie heißt es weiter im Text? „Wer auf RTF Dokumente angewiesen ist…“ Problem.

      Zudem, und hier zeigt sich, dass Sie die Ursachen nicht verstehen, sind hier völlig unterschiedliche Problematiken am Werk.

      • Am 26. März 2014 um 11:52 von PeerH

        Nix gelesen?

        „Microsoft arbeitet nach eigenen Angaben schon an einem Patch für die Lücke. “Wir beobachten die Bedrohungslage sehr genau und werden weiterhin die notwendigen Maßnahmen ergreifen, um unsere Kunden zu schützen”“

        Zeig mir so eine Aussage von Google zum Bug, der 75% bzw. 100% der Androiden betrifft? ;-)

        Weichzeichnen hilft nicht, Bugfixes helfen – und die liefert Google nun mal nicht.

        • Am 26. März 2014 um 13:27 von Chris

          Ich sags ja… keinen Plan.
          Eine Ankündigung, schön.

          An Google wurden in dem Zusammenhang 6 Probleme gemeldet. Der erste ist bereits gepached. – Aber ne is klar… die ignorieren das einfach…
          Pff..

          • Am 26. März 2014 um 15:00 von PeerH

            Der ist gut! Auf wieviele der 1 Mrd Androiden kann das ‚eine‘ von sechs Patches aufgespielt werden? Auf welche? Nur auf die neueste v4.4?

            Peinlich. Ein lächerlicher Versuch. Gib es auf, da gibt es nichts zu retten. Google interessieren ältere Geräte nicht bis zur Nasenspitze. Da wird für 90% der Geräte nie was kommen, genauso wenig wie für die 75% ungepatschten Androiden aus dem Februar.

            Microsoft WIRD zumindest patchen. ;-)

  • Am 27. März 2014 um 7:19 von Judas Ischias

    Komisch, manche Leute regen sich so über die Probleme von Google und den Geräten mit Android auf, würden sich aber im Leben nie einen Androiden kaufen!!! Als gebe es nur diesen Lebensinhalt?

    • Am 27. März 2014 um 20:27 von PeerH

      Sagt der Richtige – Anti-Apple-Chef-Ideologe. Der war gut, Realsatire. ;-)

      Und nein: ich weiss genau, warum ich mir kein Android Gerät kaufen würde, und wenn, dann nur ein ‚echtes‘ Google Gerät. Da gibt es zumindest maximal 18 Monate Updates.

      Aber da die meine Daten stehlen, wo sie können, fällt das dann auch flach. ;-)

  • Am 28. März 2014 um 3:35 von Judas Ischias

    Da gibt es doch tatsächlich Leute, die glauben bei Apple werden keine Daten gestohlen? Ok, mag sein….Dann gibt man die Daten Apple eben freiwillig. Ha,ha,ha.
    Und was habe ich vor 2-3 Tagen in einem IT-Magazin gelesen? Das iOS schon beim iPhone 4 nicht mehr alle Funktionen bringt, die es für’s iPhone 5 gibt. Komisch, ich glaube mich stark zu erinnern, 4 liegt nur eine Zahl vor 5! Oder wird beim Appel anders gezählt? So in der Art, 3 Treppen sind ein halber Liter? Würde mich allerdings auch nicht wundern!
    Also was soll ich dann mit einem Update, welches nach kurzer Zeit auch nicht mehr alle Funktionen auf das Vorgängergerät bringt? Immerhin ist Apple Premiumhersteller, zumindest beim Preis!:-D

    • Am 28. März 2014 um 8:50 von Hi, hi...

      …Judas, Judas! Vor wenigen Tagen noch aufgeregt, dass jemand nicht bis drei zählen konnte, aber hier das iPhone 4 DIREKT vor das iPhone 5 setzen, wohl wissend, dass es noch ein iPhone 4s gab.
      Das iPhone 4 ist fast vier Jahre alt. Hardwarebedingt können gar nicht alle neuen Funktionen implementiert werden. Aber es kann trotzdem Updates geben, und wenn es nur Sicherheitsupdates sind. Ein vier Jahre alter Androide bekommt beides nicht mehr, wenn es denn überhaupt über die Version 2.3 hinaus gekommen ist!

      • Am 28. März 2014 um 9:07 von Schlimmer noch ...

        … sogar Androiden mit 4.0.x – 4.2.x kriegen keine Updates mehr, wenn es sich nicht um im Auftrag von Google hergestellte Geräte handelt. Wegwerf-Smartphones, Einweg-Geräte … schon beim Kauf deklarierter Müll.

        Philosophie der Android Hersteller, wie Samsung: „verkaufen, und vergessen.“ ;-)

        Und manche finden Android trotz dieses Vorgehens auch noch gut. Peinliche Sache. Hauptsache x-Cores in der CPU (auch wenn die Benchmarks gefälscht werden), oder ‚offen‘ (trotz Google-Zwang und Sicherheitsrisiken) – und Hauptsache ‚billig‘. Was für eine tolle Philosophie.

        Da lobe ich mir Microsoft/Nokia und Apple, die sich für ihre Geräte tatsächlich verantwortlich fühlen.

        Eigentlich müsste man nach 17 Monaten Androiden ohne Update bei wichtigen Hotfixes (Februar Bug trifft 75%, März Bug trifft 100% der Androiden, und werden nicht gefixed) wegen offensichtlichen Mangels zurückgeben.

        Schließlich bestand der Mangel nachweislich bereits zum Zeitpunkt des Kaufes. ;-)

  • Am 28. März 2014 um 18:04 von Judas Ischias

    @Hi, Hi,
    so wie ich „vergessen“ habe dass es ein iPhone 4s gegeben hat, hast Du „vergessen“, dass da noch ein iPhone 5c existiert.;)
    Vielleicht bekommst Du ja auch noch einen Anschiss wegen Korinthenkackerei von dem „netten“ Foristen, von neulich, dessen „Namen“ mir gerade nicht geläufig ist.;)
    Und für den „Namenlosen“ über mir, kauf doch Geräte mit Android und wenn nach 17 Monaten kein Update kommt, dann versuch mal die Dinger mit deinen Begründungen zurückzugeben. Ohne Hellseher zu sein, selbst mit Anwalt wirst Du nicht erfolgreich sein!
    Wenn dies wider Erwarten, ich phantasiere jetzt mal, doch klappen sollte, wäre ich der Erste, der an deinem Denkmal Steine mauert.:-D

    • Am 28. März 2014 um 18:44 von Hi, hi...

      …Du hast die Funktionen des iPhone 5 als Vergleichsbasis genommen. 5S und 5C sind daher nicht relevant.

      • Am 28. März 2014 um 20:12 von Und ...

        … bevor das wieder ein Thema ist: ein 5c, dass sich besser verkauft, als alle Lumias zusammen, und auch besser, als das Samsung Flaggschiff S4, ist ‚KEIN‘ Flop. ;-)

        • Am 28. März 2014 um 22:57 von Judas Ischias

          Na da ist aber jemand in Sorge wegen der Umsatzzahlen von Apple?;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *