Microsoft warnt vor Angriffen auf Zero-Day-Lücke in Windows, Office und Lync

Microsoft hat vor einer Zero-Day-Lücke gewarnt, die Hacker derzeit für Angriffe auf Windows, Office und Lync benutzen. Der Fehler steckt einer Sicherheitsmeldung zufolge in der Microsoft Graphics Component. Mithilfe manipulierter TIFF-Dateien ist es demnach möglich, Schadcode einzuschleusen und auszuführen. Ein Angreifer müsste sein Opfer nur dazu bringen, eine speziell präparierte Website oder per E-Mail verschickte Word-Datei zu öffnen.

Betroffen sind nach Unternehmensangaben Windows Vista und Server 2008, Office 2003, 2007 und 2010, das Office Compatibility Pack und Lync 2010, 2010 Attendee, 2013 sowie Basic 2013. Bisher seien zielgerichtete Angriffe überwiegend im Mittleren Osten und Südasien beobachtet worden, schreibt Microsoft-Sprecher Dustin Childs in einem Blogeintrag.

Als Behelfslösung bietet der Softwarekonzern ein sogenanntes Fix-it-Tool an, das vor den Auswirkungen eines Angriffs schützen soll. Es deaktiviert den TIFF-Codec, was dazu führt, dass TIFF-Dateien nicht mehr angezeigt werden können. Alternativ kann auch das Enhanced Mitigation Experience Toolkit (EMET) installiert werden, um die Folgen eines Angriffs zu minimieren.

Die Schwachstelle wurde durch den McAfee-Mitarbeiter Haifei Li entdeckt. Unklar ist, ob Microsoft schon im Rahmen seines November-Patchdays, der am kommenden Dienstag stattfindet, einen Fix bereitstellen wird. „Microsoft überwacht die Bedrohungslage und wird Maßnahmen ergreifen, um seine Kunden zu schützen“, heißt es weiter im Blog des Microsoft Security Response Center.

Zuletzt hatte Microsoft im September vor einer Zero-Day-Lücke in einem seiner Produkte gewarnt. Hacker griffen allerdings schon seit August über die Schwachstelle in Internet Explorer Unternehmen in Japan an. Anfang Oktober stopfte Microsoft das Loch mit einem kumulativen Update für seinen Browser.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.