Microsoft hat vor einer neuen Zero-Day-Lücke in Word gewarnt. Sie wird bereits aktiv von Hackern ausgenutzt. Die Angriffe richten sich nach Angaben des Unternehmens bisher ausschließlich gegen Word 2010. Demnach ist es möglich, mithilfe eines speziell präparierten Dokuments im Rich Text Format (RTF) Schadcode einzuschleusen und auszuführen.
Davon betroffen sind Word 2003, 2007, 2010, 2013 und 2013 RT. Der Fehler steckt der Sicherheitswarnung zufolge aber auch in Office für Mac 2011, Word Viewer, Office Compatibility Pack sowie den Word Automation Services unter SharePoint 2010 und 2013. Auch die Office Web Apps 2010 und der Office Web Apps Server 2013 sind anfällig.
Darüber hinaus weist Microsoft darauf hin, dass sich die Schwachstelle auch ausnutzen lässt, wenn eine E-Mail, die eine manipulierte RTF-Datei enthält, in Outlook angezeigt wird. Dafür muss allerdings Word als E-Mail-Viewer in Outlook eingestellt sein.
Als Behelfslösung hat das Unternehmen ein Fix-it-Tool bereitgestellt. Es verhindert, dass RTF-Dateien mit Word geöffnet werden. Für Nutzer, die auf das Dateiformat angewiesen sind, könnte die Lösung allerdings ein Problem darstellen. Sie können alternativ das Enhanced Mitigation Experience Toolkit (EMET) verwenden, um die Folgen eines Angriffs zu minimieren.
Microsoft arbeitet nach eigenen Angaben schon an einem Patch für die Lücke. „Wir beobachten die Bedrohungslage sehr genau und werden weiterhin die notwendigen Maßnahmen ergreifen, um unsere Kunden zu schützen“, schreibt Microsoft-Sprecher Dustin Childs im Blog des Security Response Center. Er nannte allerdings keinen Zeitplan für die Veröffentlichung eines Sicherheitsupdates. Microsofts nächster Patchday findet am 8. April statt.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
14 Kommentare zu Microsoft warnt vor Angriffen auf ungepatchte Word-Lücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
@Hi, Hi,
so wie ich „vergessen“ habe dass es ein iPhone 4s gegeben hat, hast Du „vergessen“, dass da noch ein iPhone 5c existiert.;)
Vielleicht bekommst Du ja auch noch einen Anschiss wegen Korinthenkackerei von dem „netten“ Foristen, von neulich, dessen „Namen“ mir gerade nicht geläufig ist.;)
Und für den „Namenlosen“ über mir, kauf doch Geräte mit Android und wenn nach 17 Monaten kein Update kommt, dann versuch mal die Dinger mit deinen Begründungen zurückzugeben. Ohne Hellseher zu sein, selbst mit Anwalt wirst Du nicht erfolgreich sein!
Wenn dies wider Erwarten, ich phantasiere jetzt mal, doch klappen sollte, wäre ich der Erste, der an deinem Denkmal Steine mauert.:-D
…Du hast die Funktionen des iPhone 5 als Vergleichsbasis genommen. 5S und 5C sind daher nicht relevant.
… bevor das wieder ein Thema ist: ein 5c, dass sich besser verkauft, als alle Lumias zusammen, und auch besser, als das Samsung Flaggschiff S4, ist ‚KEIN‘ Flop. ;-)
Na da ist aber jemand in Sorge wegen der Umsatzzahlen von Apple?;)
Da gibt es doch tatsächlich Leute, die glauben bei Apple werden keine Daten gestohlen? Ok, mag sein….Dann gibt man die Daten Apple eben freiwillig. Ha,ha,ha.
Und was habe ich vor 2-3 Tagen in einem IT-Magazin gelesen? Das iOS schon beim iPhone 4 nicht mehr alle Funktionen bringt, die es für’s iPhone 5 gibt. Komisch, ich glaube mich stark zu erinnern, 4 liegt nur eine Zahl vor 5! Oder wird beim Appel anders gezählt? So in der Art, 3 Treppen sind ein halber Liter? Würde mich allerdings auch nicht wundern!
Also was soll ich dann mit einem Update, welches nach kurzer Zeit auch nicht mehr alle Funktionen auf das Vorgängergerät bringt? Immerhin ist Apple Premiumhersteller, zumindest beim Preis!:-D
…Judas, Judas! Vor wenigen Tagen noch aufgeregt, dass jemand nicht bis drei zählen konnte, aber hier das iPhone 4 DIREKT vor das iPhone 5 setzen, wohl wissend, dass es noch ein iPhone 4s gab.
Das iPhone 4 ist fast vier Jahre alt. Hardwarebedingt können gar nicht alle neuen Funktionen implementiert werden. Aber es kann trotzdem Updates geben, und wenn es nur Sicherheitsupdates sind. Ein vier Jahre alter Androide bekommt beides nicht mehr, wenn es denn überhaupt über die Version 2.3 hinaus gekommen ist!
… sogar Androiden mit 4.0.x – 4.2.x kriegen keine Updates mehr, wenn es sich nicht um im Auftrag von Google hergestellte Geräte handelt. Wegwerf-Smartphones, Einweg-Geräte … schon beim Kauf deklarierter Müll.
Philosophie der Android Hersteller, wie Samsung: „verkaufen, und vergessen.“ ;-)
Und manche finden Android trotz dieses Vorgehens auch noch gut. Peinliche Sache. Hauptsache x-Cores in der CPU (auch wenn die Benchmarks gefälscht werden), oder ‚offen‘ (trotz Google-Zwang und Sicherheitsrisiken) – und Hauptsache ‚billig‘. Was für eine tolle Philosophie.
Da lobe ich mir Microsoft/Nokia und Apple, die sich für ihre Geräte tatsächlich verantwortlich fühlen.
Eigentlich müsste man nach 17 Monaten Androiden ohne Update bei wichtigen Hotfixes (Februar Bug trifft 75%, März Bug trifft 100% der Androiden, und werden nicht gefixed) wegen offensichtlichen Mangels zurückgeben.
Schließlich bestand der Mangel nachweislich bereits zum Zeitpunkt des Kaufes. ;-)
Komisch, manche Leute regen sich so über die Probleme von Google und den Geräten mit Android auf, würden sich aber im Leben nie einen Androiden kaufen!!! Als gebe es nur diesen Lebensinhalt?
Sagt der Richtige – Anti-Apple-Chef-Ideologe. Der war gut, Realsatire. ;-)
Und nein: ich weiss genau, warum ich mir kein Android Gerät kaufen würde, und wenn, dann nur ein ‚echtes‘ Google Gerät. Da gibt es zumindest maximal 18 Monate Updates.
Aber da die meine Daten stehlen, wo sie können, fällt das dann auch flach. ;-)
Daran sollte sich Google ein Beispiel nehmen, und nicht einfach die A-Karte den ‚dummen‘ Anwendern zuschieben. Microsoft patcht, Google verdrängt.
Wenn man die Dinge nicht versteht, sollte man sich nicht dazu in der Art äußern…
Das Fix it Tool verhindert einfach die generelle Verwendung von RTF Dokumenten… das ist kein Patch. Das wäre als würde man bei Android den Updateprozess(darauf zielt ihr Spruch ja wohl ab) einfach unterbinden, damit kein Gerät mehr updaten kann. Oder einfach keine Apps mehr installieren….Problem gelöst.
Aber wie heißt es weiter im Text? „Wer auf RTF Dokumente angewiesen ist…“ Problem.
Zudem, und hier zeigt sich, dass Sie die Ursachen nicht verstehen, sind hier völlig unterschiedliche Problematiken am Werk.
Nix gelesen?
„Microsoft arbeitet nach eigenen Angaben schon an einem Patch für die Lücke. “Wir beobachten die Bedrohungslage sehr genau und werden weiterhin die notwendigen Maßnahmen ergreifen, um unsere Kunden zu schützen”“
Zeig mir so eine Aussage von Google zum Bug, der 75% bzw. 100% der Androiden betrifft? ;-)
Weichzeichnen hilft nicht, Bugfixes helfen – und die liefert Google nun mal nicht.
Ich sags ja… keinen Plan.
Eine Ankündigung, schön.
An Google wurden in dem Zusammenhang 6 Probleme gemeldet. Der erste ist bereits gepached. – Aber ne is klar… die ignorieren das einfach…
Pff..
Der ist gut! Auf wieviele der 1 Mrd Androiden kann das ‚eine‘ von sechs Patches aufgespielt werden? Auf welche? Nur auf die neueste v4.4?
Peinlich. Ein lächerlicher Versuch. Gib es auf, da gibt es nichts zu retten. Google interessieren ältere Geräte nicht bis zur Nasenspitze. Da wird für 90% der Geräte nie was kommen, genauso wenig wie für die 75% ungepatschten Androiden aus dem Februar.
Microsoft WIRD zumindest patchen. ;-)