heise Security

Alert! Dritter Zero-Day-Exploit nutzt Lücke in Microsoft Wordpad

Daniel Bachfeld

Microsoft hat zusätzlich zu den gestern veröffentlichten Sicherheits-Bulletins [1] eine Warnung vor einer ungepatchten Sicherheitslücke in Wordpad herausgegeben. Ein Speicherproblem des Wordpad Text Converter for Word 97 lässt sich beim Öffnen manipulierter Word-97-Dokumente ausnutzen, um Code in ein System zu schleusen und mit den Rechten des Windows-Anwenders zu starten.

Nach Angaben von Microsoft ist die Wordpad-Version in Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 betroffen. Mit Service Pack 3 ausgestattete Windows-XP-Systeme sollen aber ebensowenig verwundbar sein wie Windows Vista und Windows Server 2008, da sie den fehlerhaften Code nicht enthalten sollen.

Anwender, die Word installiert haben, sollen ebenfalls nicht betroffen sein, da Word-Dokumente dann standardmäßig mit Word geöffnet werden, das den Fehler nicht enthält. Microsoft will die Lücke noch intensiver untersuchen und dann einen Patch veröffentlichen. Allerdings hält sich der Hersteller dabei alle Optionen offen und legt sich nicht fest, ob der Patch im Rahmen eines Service Pack, als Update zum Patchday oder als Update außerhalb der Reihe erscheint.

Der Softwarekonzern empfiehlt bis dahin, keine aus unbekannten Quellen erhaltene – etwa per Mail empfangene– doc-, wri- und rtf-Dateien zu öffnen.

Derzeit sehe man nur sehr wenige gezielte Angriffe auf Kunden, bei denen die Lücke ausgenutzt würde. Da es zudem keinen öffentlichen Exploit gebe, sei das Risiko eher gering. Kunden, die glauben, bereits Opfer eines Angriffs geworden zu sein, sollen sich mit den Ermittlungsbehörden in Verbindung setzen.

Bereits gestern wurden zwei Zero-Day-Exploits bekannt, einer davon für den Internet Explorer 7. Der Exploit funktionierte in Tests von heise Security [2] unter Windows XP mit SP3 – und den Dezember-Patches. Er wird bereits aktiv ausgenutzt. Laut McAfee [3] ist auch Vista SP1 betroffen.

Siehe dazu auch:

  • Vulnerability in WordPad Text Converter Could Allow Remote Code Execution [4], Warnung von Microsoft

(dab [5])


URL dieses Artikels:
https://www.heise.de/security/meldung/Dritter-Zero-Day-Exploit-nutzt-Luecke-in-Microsoft-Wordpad-188301.html

Links in diesem Artikel:
  [1] https://www.heise.de/meldung/Acht-Update-Pakete-und-zwei-Zero-Day-Exploits-zum-Microsoft-Patchday-188160.html
  [2] https://www.heise.de/meldung/Acht-Update-Pakete-und-zwei-Zero-Day-Exploits-zum-Microsoft-Patchday-188160.html
  [3] http://www.avertlabs.com/research/blog/index.php/2008/12/09/yet-another-unpatched-drive-by-exploit-found-on-the-web/
  [4] http://www.microsoft.com/technet/security/advisory/960906.mspx
  [5] mailto:dab@ct.de