MS08-011
Exploit für Patch-Day-Lücke
Für eine Sicherheitslücke im Konverter für Dateien im Works-Format ist bereits Beispiel-Code veröffentlicht worden, der die Ausnutzung der Anfälligkeit in Microsoft Office 2003 demonstriert.
Vor einer Woche hat Microsoft beim monatlichen Patch Day ein ganzes Bündel von Security Bulletins veröffentlicht, insgesamt elf. Darunter ist mit MS08-011 auch eines, das Sicherheitslücken im Works-Konverter von Microsoft Office behandelt. Bereits einen Tag nach dem Patch Day hat der Entdecker einer dieser Schwachstellen einen dazu passenden Demo-Exploit öffentlich bereit gestellt.
Dass der Entdecker bereits so kurz nach dem Bereitstellen eines Updates durch den Hersteller einen Demo-Exploit veröffentlicht, ist an sich ein ungewöhnlicher Vorgang. Sein richtiger Name ist nicht bekannt, er nennt sich "chujwamwdupe", was auf polnisch eine Obszönität darstellt. Dieses Pseudonym hat auch dazu geführt, dass Microsoft ihn nicht im Security Bulletin unter "Danksagungen" aufgeführt hat (wir berichteten).
Sein Ärger darüber hat den Forscher mit Hang zum obszönen Nickname allem Anschein dazu gebracht seinen Demo-Exploit gleich öffentlich zu machen. Der Exploit-Code nutzt eine Anfälligkeit in einem Import-Konverter von Office 2003 aus. Beim Importieren von WPS-Dateien (Microsoft Works) werden diese nach RTF (Rich Text) umgewandelt. Mit speziell präparierten Dateien kann ein Angreifer einen Pufferüberlauf provozieren, der das Einschleusen und Ausführen von beliebigem Programm-Code ermöglicht.
Der Demo-Exploit startet lediglich den Taschenrechner von Windows, ist jedoch leicht modifizierbar. Daher werden solche Beispiele von verantwortungsvollen Forschern erst dann veröffentlicht, wenn Anwender und Administratoren genug Zeit hatten, um die vom Hersteller bereit gestellten Update zu installieren.
