News-Meldung vom 10.07.2006 10:45
Ein weiteres Sicherheitsleck in Microsofts Office könnten Angreifer etwa über manipulierte Word-Dokumente ausnutzen, um Schadcode auf betroffene Systeme einzuschleusen. Der Entdecker der Lücke, Naveed Afzal, stellt ein Dokument bereit, das die Schwachstelle nutzt, um einen Absturz der Anwendung zu verursachen.
Das Dokument erzeugt einen Pufferüberlauf in der Funktion LsCreateLine in der Funktionsbibliothek mso.dll. Laut Afzal kann man den so kontrolliert herbeiführen, dass dabei Code aus dem Dokument im Kontext des angemeldeten Users ausgeführt wird. Betroffen sind dem Proof-of-Concept-Code zufolge Office 2000, XP und 2003. Bei Office 97 dagegen reagierte Word bei einem Test durch heise Security auf das Dokument mit Herumspringen zwischen den einzelnen Seiten, stürzte jedoch nicht ab. Ob Microsoft die Lücke am morgigen Patchday abdichten wird, ist unklar.
Siehe dazu auch:
(dmk)
English Version: Yet another weak point in Microsoft Office
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-139996
Themen-Forum Desktopsicherheit
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
