Microsoft prüft Zero-Day-Lücke in Word
Microsoft untersucht nach eigenen Angaben eine Schwachstelle in der ‘Jet Database Engine’, die durch ein manipuliertes Word-Dokument zum Einschleusen und Ausführen von Schadcode genutzt werden kann. Bis auf Windows Server 2003 mit Service Pack 2 und Windows Vista sollen alle gängigen Versionen von Windows und Word von dem Fehler betroffen sein.
Ziel weiterer Prüfungen sei, festzustellen, ob die Schwachstelle auch mit anderen Anwendungen ausgenutzt werden könne, so Microsoft. Bisher habe man nur wenige zielgerichtete Attacken registriert. Nutzer, die Opfer eines Angriffs wurden, erhalten über Microsofts Support-Webseite weitere Unterstützung.
Das Risiko für die Anwender stuft Microsoft als gering ein. Angaben über den möglichen Veröffentlichungstermin eines Patches machte das Unternehmen bislang nicht. Man werde den Fehler entweder im Rahmen der monatlichen Updates oder bei Bedarf auch außer der Reihe beheben, heißt es in einer Sicherheitsmeldung.
Erst kürzlich hatte Microsoft eine Schwachstelle in Excel geschlossen. Am 20. März veröffentlichte das Unternehmen das Update ‘MS08-014’ für Excel 2003. Damit wurde ein Fehler behoben, der nach einem früheren Update in Excel 2003 mit Service Pack 2 oder Service Pack 3 auftrat.
Der Fehler wurde laut Microsoft bei Funktionen beobachtet, die sich über größere Zellbereiche erstreckten und VBA-Makros enthielten. Wenn die VBA-Makros zusätzlich auf Echtzeit-Datenquellen verwiesen, lieferte Excel in der Regel ‘Null’ als – falsches – Ergebnis.