Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1307

[MS/Word] Schwachstelle in Microsoft Word - Exploit Code in Umlauf
(2006-05-25 23:13:47.776524+00)

Quelle: http://www.us-cert.gov/cas/techalerts/TA06-139A.html

Eine Pufferüberlaufschwachstelle in Microsoft Word, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Word-Benutzers auszuführen, wird aktiv ausgenutzt.

Betroffene Systeme

Einfallstor
Microsoft-Word-Dokument, z.B. als Anhang einer E-Mail-Nachricht

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Word-Benutzers
((remote) user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Pufferüberlaufschwachstelle in Microsoft Word kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Word-Benutzers auf dem beherbergenden System auszuführen. Dabei ist es ausreichend, daß der Benutzer ein entsprechend präpariertes Word-Dokument öffnet, das z.B. als Anhang einer E-Mail-Nachricht oder per Download von einer Webseite auf den beherbergenden Rechner gelangt.

Wie u. a. eEye mitteilt, sind bereits E-Mails in Umlauf, die einen Anhang tragen, der Code zur Ausnutzung dieser Schwachstelle enthält.

Microsoft hat ein Advisory veröffentlicht, das als temporäre Gegenmaßnahme empfiehlt, Office Produkte nur im Abgesicherten Modus zu starten. Dieser Workaround ist jedoch mit einigen Umständen verbunden: so greift er bei Anhängen beispielsweise nur, wenn die Dateien nicht direkt per Doppelklick aus der Nachricht geöffnet werden, sondern vorher abgespeichert und dann im Abgesicherten Modus mit Word geöffnet werden. Auch treten einige weitere Nebeneffekte auf.

Es wird dringend empfohlen, die Ratschläge des Advisories zu befolgen, sowie jedem Word-Dokument, das unverlangt zugeschickt wird oder das von einer unbekannten Webseite geladen wird, mit höchster Vorsicht zu begegnen und es im Zweifelsfall nicht zu öffnen.

Workaround

Zur erfolgreichen Anwendung dieses Workarounds sollte darauf geachtet werden, daß es Webbrowser gibt, die nur anhand des MIME-Typen einer Datei entscheiden, mit welcher Anwendung sie automatisch geöffnet werden. So könnte z.B. ein Webbrowser eine reine Textdatei herunterladen (mit der Endung .txt), der der Webserver jedoch den MIME-Typen application/msword mitgibt. Dann kann es geschehen, daß der Browser automatisch Word startet, um sie zu betrachten, sofern das so konfiguriert ist. Es ist hier also nicht ausreichend, nur darauf zu achten, keine Word-Dokumente herunterzuladen, sondern es müssen Browser und E-Mail-Programme entsprechend konfiguriert werden, Dokumente nicht automatisch zu Öffnen.

Gegenmaßnahmen

Generelle Empfehlung (Wh)

Vulnerability ID

Exploit Status

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1307