Der Security-Spezialist Secunia meldet eine schwere Sicherheitslücke in Word 2000. Möglicherweise ist auch die XP-Version betroffen. Speziell präparierte Dokumente können einen Speicherüberlauf verursachen, wodurch es Hackern ermöglicht wird, die Kontrolle über das System zu erlangen. Ein Patch ist noch nicht verfügbar.
Secunia stuft das Problem als „sehr kritisch“ ein. Der Fehler werde von einer Komponente verursacht, die für das Parsing beim Öffnen von Word-Dokumenten zuständig ist. Microsoft sagte, man werde den Sachverhalt überprüfen.
Die Redmonder kritisierten jedoch, vor der Veröffentlichung der Sicherheitslücke von Secunia nicht informiert worden zu sein. „Microsoft ist besorgt darüber, dass die Meldung über eine Schwachstelle in Word nicht verantwortungsvoll gemeldet wurde, wodurch Anwender möglicherweise einem Risiko ausgesetzt sind“, so ein Sprecher.
Nach Abschluss der Untersuchung werde man entscheiden, welche Konsequenzen zu ziehen sind. Microsoft könnte den Patch im Rahmen seines monatlich stattfindenden Patch Day oder außer der Reihe zur Verfügung stellen.
Neueste Kommentare
10 Kommentare zu Schwere Sicherheitslücke in Word 2000 entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
abstrakt betrachtet
Fehler kann man selten ganz vermeiden.
Ich sehe das Problem jedoch ein klein
wenig anders, mag ja sein dass die
Software Word 2000 einen Fehler
und somit einen Angriff ermöglicht.
Dies ist allerdings nicht nur in
Word möglich sondern auch in anderen
Programmen die auf dem Rechner ausgeführt
werden.
Die für mich einzig richtige Lösung
des Problems liegt auf Betriebssystem-
Ebene, wenn also ein Fehler auftritt
ist es doch Aufgabe des Betriebssystems
dafür zu sorgen, dass dieser entweder
abgefangen oder dass durch einen
solchen Fehler nicht enorme Sicherheits-
lücken entstehen.
Hier wäre also nicht ein Patch für
Word sinnvoll, sondern Patches für die verschiedenen Betriebssysteme,
solche Sicherheitsrisiken zu
unterbinden.
Damit würden solche Fehler auch in
anderen Softwareprodukten keine
verheerenden Folgen nach sich ziehen
können.
Microsoft überlegt
Die Sicherheitslücke ist als "sehr kritisch" eingestuft und Microsoft muss ert überlegen, wann ein Patch zur Verfügung gestellt wird. Das ist doch kaum zu glauben, aber bei Microsoft ist eben alles möglich.
AW: Microsoft überlegt
Aber klar doch, die Kunden haben doch schon bezahlt, und ein Patch kostet ja nur Geld. Warum sollte man sich da beeilen?
AW: AW: Microsoft überlegt
Ist euch noch nie aufgefallen das Microsoft erst einen Patch, bei Sicherheitslücken bringt, wenn ein entsprechendes Exploit verfügbar ist?
Das zeigt doch, das Microsoft garnicht weiß wo überhaupt die Lücken zu stopfen sind und sich auf Hobbytüftler verlassen muss. Ja! Ja! Was wäre Microsoft doch bloß ohne seine treuen Kunden!?
AW: AW: AW: Microsoft überlegt
Ich gratuliere zu diesen drei "wirklich" objektiven Äusserungen.
Erstens sind alle Softwarehersteller – nicht nur Microsoft – darüber froh, wenn zuerst sie, und dann die Öffentlichkeit informiert wird, damit sie zuerst den Patch und dann den Exploit veröffentlichen können.
Zweitens ist es wohl noch keinem Programmierer gelungen, alle Bugs in seinem Programm von vorneherein zu kennen. Ich glaube, dass wäre wohl etwas zu viel verlangt, nicht?
AW: AW: AW: AW: Microsoft überlegt
Na klar – alle Software-Systeme werden schlampig programmiert – daher stürzen auch täglich Flugzeuge ab, fliegen Autos aus den Kurven, werden Menschen Opfer von diversen Fehlfunktionen medizinischer Geräte in Krankenhäusern und so weiter und so fort….
HALLO – natürlich kann man Systeme sicherer machen – nur das kostet halt Geld. Und der reichste Mann der Welt möchte halt lieber noch ein bisschen reicher werden. Ist doch legitim, oder?!
AW: AW: AW: AW: AW: Microsoft überlegt
grins …
ich warte schon auf den tag, an dem ich bei meinem smart auf die bremse trete und im display steht ………………… "allgemeiner bremsenfehler, starten sie das system bitte neu"
AW: Mal objektiv sein!
Also Leute, nu seid doch mal wirklich objektiv. Nein, ich bin durchaus kein MS-Fan, noch arbeite ich irgendwie für diese Firma, ihr Geschäftsgebaren gefällt mit ganz und gar nicht. Mein Standard-Browser ist Mozilla und meine Briefe schreibe ich mit OpenOffice.
Aber ich habe dieses ewige gemosere und draufhauen um jeden Preis satt, nur weil es gegen MS geht.
Habt ihr, die ihr euch so aufregt, überhaupt schon mal ein richtiges Programm geschrieben? Nein, nicht so ein Popelprogrämmchen in VB oder meinetwegen auch C++, sondern ein richtiges, umfangreiches, mit -zig Ablauf-Varianten und Funktionen, als Projekt in Zusammenarbeit mit etlichen anderen Programmierern, mit dutzenden von Schnittstellen und, und, und ?????
Ein Projekt, das derart unter Zugzwang steht, weil ständig Neues dazukommen muss, weil ständiger Konkurrenzdruck da ist? Nein? Dann wisst ihr auch nicht, wovon ihr redet!!!
Sicher, bei einem Projekt dieser Größenordnung muss es einfach eine Abteilung geben, die nichts anderes macht, als nach Fehlern zu suchen, aber selbst die können unmöglich ALLES finden. Patches an laufenden Systemen von diesem Umfang sind einfach unumgänglich und durchaus normal!
Normal sollte aber auch sein, dass ich, wenn ich solch einen Bug entdecke, erst mal den/die Programmierer informiere und denen Gelegenheit gebe, diesen Bug zu beseitigen. Aber nein, es geht ja gegen Microsoft, da haue ich denen gleich mal ordentlich eins rein, hä hä hä…
AW: AW: AW: AW: AW: AW: Microsoft überlegt
Was meinst du weshalb Mercedes bzw. Daimler/Crysler die elektronische Bremse wieder aus dem Prototypen raus genommen haben. Trotz dreifacher Redundanz, sind Fehler nicht auszuschliessen gewesen. Wie sollte man da als Fahrer beweisen können das man gebremst hat.
so long yeTTi
AW: AW: Mal objektiv sein!
Danke, danke, da spricht mir doch mal einer aus der Seele!
Jede Sicherheitsfirma, Zeitschrift oder Privatperson, die Sicherheitslücken erst einmal öffentlich bekannt gibt, bevor sie der betroffenen Softwareschmiede die Möglichkeit zur Ausbesserung gegeben hat, gehört m.E. nach mit verantwortlich gemacht für die evtl. daraus resultierenden Konsequenzen. Wenn die betroffene Firma (ob nun MS oder irgendein anderer Produzent) darauf nicht in angemessener Zeit reagiert ist es sicherlich legitim, diesen Missstand publik zu machen.