153536

Neue Zero-Day-Lücke in Powerpoint

03.04.2009 | 15:13 Uhr |

Microsoft warnt vor einer neu entdeckten Sicherheitslücke in Microsoft Powerpoint, die bereits für gezielte Angriffe ausgenutzt wird. Die Schwachstelle ermöglicht dem Angreifer das Einschleusen von beliebigem Code.

In Microsoft Powerpoint ist eine neue Sicherheitslücke entdeckt worden. Angreifer nutzen die Schwachstelle bereits aus, um speziell präparierte Powerpoint-Dateien gezielt an potenzielle Opfer zu schicken. Betroffen sind nach Angaben von Microsoft die Powerpoint-Versionen 2000, 2002 und 2003 für Windows sowie 2004 für Macintosh. Andere Versionen sollen nach bisherigem Stand der Untersuchungen nicht anfällig sein.

Microsoft hat die Sicherheitsmitteilung 969136 heraus gegeben und warnt im Blog des Malware Protection Center vor der neuen Sicherheitslücke. Microsoft liegen mehrere verschiedene, manipulierte Powerpoint-Dateien (Endung: .pps) vor, die bereits bei gezielten Angriffen als Mail-Anhang verschickt worden sind.

Die präparierten Dateien erzeugen beim Öffnen in anfälligen Powerpoint-Versionen einen Speicherüberlauf, der das Ablegen und Ausführen einer Programmdatei auf der Festplatte ermöglicht. So sind bislang etwa Trojanische Pferde eingeschleust und als Dateien mit Namen wie "Fssm32.exe", "Setup.exe", "PeerCM.exe", "IEUpd.exe" oder "ws2_42.dll" abgelegt worden.

Für Microsofts Antivirusprodukte gibt es ein Update der Signaturdatenbanken, mit dem die PPS-Dateien als "Exploit:Win32/Apptom.gen" und die eingeschleusten Schädlinge als "TrojanDropper:Win32/Apptom.A", "TrojanDropper:Win32/Apptom.B" und "Trojan:Win32/Cryptrun.A" erkannt werden. McAfee VirusScan erkennt die Powerpoint-Dateien mit einem in Kürze bereit stehenden Update (DAT-5573) als "Exploit-PPT.k" und die Schädlinge teils als "Muster.c", teils als "Generic BackDoor.u". Bei Symantec (Norton) sind die PPS-Dateien als "Trojan.PPDropper.H" bekannt, bei F-Secure als "Exploit:W32/Ppdropper.BT".

Microsoft empfiehlt Anwendern anfälliger Powerpoint-Versionen keine Office-Dateien zu öffnen, die unerwartet oder von unbekannten Absendern eingehen. Für Microsoft Office 2003 oder 2007 rät Microsoft zur Verwendung des Schutzsystems MOICE (Microsoft Office Isolated Conversion Environment), das Office-Dateien in älteren Dateiformaten beim Öffnen in das aktuelle, XML-basierte Format von Office 2007 konvertiert.

Ob und wann es ein Sicherheits-Update für die betroffenen Office-Versionen geben wird, lässt Microsoft derzeit offen. Dies werde von "Kundenbedürfnissen" abhängen, heißt es dazu. Auf einen Patch für die bereits seit Februar bekannte und ausgenutzte Excel-Lücke warten Microsoft-Kunden noch immer. Der nächste Patch Day ist am 14. April.

0 Kommentare zu diesem Artikel
153536