Eine Schwachstelle in Microsoft Word 2000, Word 2002 und Office 2003 ermöglicht die Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Word-Benutzers auszuführen. Dabei ist es ausreichend, wenn der Benutzer ein entsprechend präpariertes Word-Dokument öffnet. Es ist bereits Malware in Umlauf, die diese Schwachstelle ausnutzt (s. Mitteilung des US-CERT). Nachdem noch kein Patch verfügbar ist wird dringend empfohlen, keine unverlangt zugesandten Dokumente oder Dokumente von einer fremden Webseite zu öffnen. Es kann auch ein - ggf. temporärer - Umstieg auf ein anderes Office-Produkt, etwa OpenOffice, erwogen werden. (CVE-2006-4534)
Revisonen dieser Meldung

• V 1.0: als Kurzmeldung veröffentlicht (2006-09-07)
• V 1.1: Betroffene Systeme neben Word 2000 auch Word 2002 und Office 2003 (2006-10-12)

(og)

Weitere Artikel zu diesem Thema:

• [MS/Office] Schwachstelle in Microsoft Word, Word Viewer und Works (2006-12-08)
  Eine Schwachstelle in Word 2000, 2002, 2003, Word Viewer 2003, Word 2004 und 2004 X für Mac sowie Works 2004, 2005 und 2006 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Word aufrufenden Benutzers auf dem beherbergenden Rechnersystem auszuführen. Dazu ist es erforderlich, dass das Opfer eine speziell präparierte Word-Datei mit einer verwundbaren Version von Word öffnet. Derzeit stehen weder Patches zur Behebung der Schwachstelle noch neue nichtverwundbare Versionen der betroffenen Softwareprodukte bereit.
  Aus diesem Grund wird dringend empfohlen, unverlangt zugesandte Dokumente oder Dateien von einer fremden Webseite nicht zu öffnen. Es kann auch ein - ggf. temporärer - Umstieg auf ein anderes Office-Produkt, z.B. OpenOffice, erwogen werden. (CVE-2006-5994)
• [MS/Windows] Microsoft Security Bulletin Summary für Oktober 2006 behebt 26 Schwachstellen (2006-10-12)
  Im Rahmen seines Security Bulletin Summary für Oktober 2006 stellt Microsoft 10 sicherheitsrelevante Updates zur Behebung von insgesamt 26 Schwachstellen bereit, darunter die erst jüngst bekannt gewordene Schwachstelle in Word 2000, Word 2002 und Office 2003, die bereits seit September aktiv ausgenutzt wurde (s. RUS-CERT#1318). Sechs der Updates beheben durch Microsoft als kritisch eingestufte Schwachstellen in Windows XP, MS Office, MS PowerPoint, MS Excel und MS Word. Ein weiteres Update behebt zwei als hoch eingestufte Schwachstellen im Serverdienst von Windows XP. Die restlichen Updates beheben als mittel und gering eingestufte Schwachstellen. Es wird dringend empfohlen die von Microsoft veröffentlichten Sicherheits-Updates zu installieren.
  ( CVE-2006-4690, CVE-2006-3435, CVE-2006-3876, CVE-2006-3877, CVE-2006-4694, CVE-2006-2387, CVE-2006-3431, CVE-2006-3867, CVE-2006-3875, CVE-2006-3647, CVE-2006-3651, CVE-2006-4534, CVE-2006-4693, CVE-2006-4685, CVE-2006-4686, CVE-2006-3434, CVE-2006-3650, CVE-2006-3864, CVE-2006-3868, CVE-2006-3942, CVE-2006-4696, CVE-2006-3436, CVE-2006-4692, CVE-2004-0790, CVE-2004-0230, CVE-2005-0688)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/