10188

Microsoft Office: Weitere Sicherheitslücken gemeldet

11.04.2007 | 15:35 Uhr |

Passend zum gestrigen Patch-Day haben Sicherheits-Experten eine Reihe weiterer Sicherheitslücken in Microsoft Office gemeldet. Microsoft untersucht die Berichte, dem Unternehmen sind aber noch keine Vorfälle bekannt, bei denen diese Lücken aktiv ausgenutzt werden. Allerdings haben Angreifer nun bis zum nächsten Patch-Day Zeit, Opfer zu finden.

Sicherheitsexperten wollen mehrere Lücken in Microsoft Office gefunden haben . Entsprechender Beispielcode steht dabei zum Download bereit. Die Details zu den Lücken sind noch recht spärlich. Zwei der Lücken betreffen Word 2007 und könnten DOS-ähnliche Angriffe ermöglichen, bei der die CPU-Last auf 100 Prozent ansteigt. Die dritte Lücke soll die Ausführung von remote Code erlauben und in den vierten Angriffspunkt soll die ".hlp"-Erweiterung für Hilfe-Dateien verwickelt sein.

Microsoft untersucht die Berichte derzeit, über eine aktive Ausnutzung dieser Lücken ist aber noch nichts bekannt. Wie schnell das jedoch gehen kann, hat nicht zuletzt die ANI-Lücke bewiesen , bei der Microsoft außerplanmäßig einen Patch bereit stellen musste. Bis zum Abschluss der Untersuchung gilt: Seien Sie vorsichtig mit Word- oder anderen Dateien, die Sie unaufgefordert und eventuell von unbekannten Personen erhalten und öffnen Sie diese nicht.

Es ist wie mit dem Hasen und dem Igel: Sobald Microsoft an einer Stelle Sicherheitslücken in seinen Produkten stopft, werden weitere Lücken an anderen Stellen gemeldet. Dumm nur, wenn der Patch Day gerade vorbei ist und Hacker nun bis zu vier Wochen Zeit haben, eine solche Lücke - auch Zero-Day-Exploit genannt - auszunutzen. Auf genau diese Taktik greifen Hacker wie manche Sicherheitsexperten in der letzten Zeit verstärkt zurück, immer öfter werden neue Lücken in den Tagen um einen Patch Day veröffentlicht. Eine Taktik, die durchaus kritisch zu bewerten ist. Während beispielsweise einige Sicherheitsexperten der Ansicht sind, dass nur solche Komplettveröffentlichungen (etwa mit passendem Beispielcode) den Hersteller so unter Druck setzen, schnell zu reagieren, können Hacker wegen solcher Veröffentlichungen gewaltigen Schaden verursachen. Gegen solche Veröffentlichungen spricht beispielsweise der Schutz der Anwender, die - solange kein Patch existiert - derartigen Lücken schutzlos ausgeliefert sind.

Was halten Sie von der Vorgehensweise mancher Sicherheitsexperten, eine Sicherheitslücke nicht nur zu melden, sondern detailliert zu schildern, bevor ein Patch bereit steht? Sollte dies zum Schutz der Anwender unterbleiben? Oder sind Sie der Ansicht, dass Hacker sowieso an das das nötige Know-How gelangen und eine detaillierte Veröffentlichung die Hersteller zu einer schnellen Reaktion zwingt? Posten Sie Ihre Meinung einfach in das Forum zu dieser News.

0 Kommentare zu diesem Artikel
10188