Word Zero-Day-Lücke geschlossen

In faktisch allen Word-Versionen klafft eine Sicherheitslücke (Zero-Day-Exploit), die aktiv ausgenutzt wird. Nun hat Microsoft diese Lücke (hoffentlich) zum April 2017-Patchday geschlossen.


Anzeige

Vor einigen Tagen hatte ich im Blog-Beitrag Zero-Day-Lücke über Word-Dokumente ausgenutzt über eine Zero-Day-Sicherheitslücke in Microsoft Word berichtet. Eine Analyse findet sich z.B. hier und hier (nicht erreichbar). Diese Sicherheitslücke wird aktiv ausgenutzt. Das Dridex-Botnet verteilte in den letzten Tagen Millionen Spam-Mails mit Schadcode in Word-Dateien, die auf diese Sicherheitslücke zielten (siehe Achtung: Dridex-Botnet verteilt Spam-Mails mit Schadcode für Office-Lücke). Die Kriminellen haben eine hängen an die Mails präparierte Dateien der Art Scan_123456.doc oder Scan_123456.pdf an. Beim Öffnen wird dann die Schadfunktion aktiv und versucht einen Trojaner zu installieren.

Am 11. April 2017 hat Microsoft nun eine Reihe von Sicherheitsupdates freigegeben, die auch CVE-2017-0199 (Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API) adressieren.

Ergänzung: Ich habe den obigen Link rausgenommen (siehe Kommentar), da der Beitrag wohl von Microsoft gelöscht wurde. Zwischenzeitlich gibt es den Beitrag KB4014793 (Security update for the Microsoft Office remote code execution vulnerability: April 11, 2017) mit Informationen (wobei dort der Link auf CVE-2017-0199 auch gebrochen ist).

Microsoft patcht Office 2007, 2010, 2013 und 2016 sowie diverse Windows-Version (wegen WordPad). Details waren CVE-2017-0199 (https:// portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199) zu entnehmen – ist leider gelöscht. Dem nachfolgenden Kommentar ist zu entnehmen, dass der Import von EPS-Dateien blockiert wird.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Word Zero-Day-Lücke geschlossen

  1. Harald L. sagt:

    "Geschlossen" ist relativ. Die haben einfach den Importfilter für das EPS-Grafikformat abgeschaltet. Denn über eingebettete manipulierte EPS-Dateien lief wohl die Attacke.

    Für mich selber ist das Abschalten von EPS kein Problem, brauchte ich noch nie. Habe aber schon Beschwerdeposts gelesen von Leuten die legitim EPS-Grafiken in z.B. Word benutzten und jetzt klappt das nicht mehr. Auch in alten Dokumente fehlen diese Grafiken dann beim Öffnen angeblich.

    Der "normale Anwender" wird EPS kaum benötigen, aber im Bereich Druckerei, Grafikstudios etc. dürfte das Format oft vorkommen.

  2. JohnRipper sagt:

    Der Link auf die VE-2017-0199 führt bei mir zu einer leeren Seite.

  3. Alex sagt:

    Ich hoffe doch, dass das abschalten einfach mal die schnellste Lösung war, und der eigentliche Patch demnächst kommt.

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.