Microsoft Office: Weitere Sicherheitslücken gemeldet

Diskutiere Microsoft Office: Weitere Sicherheitslücken gemeldet im IT-News Forum im Bereich News; Passend zum gestrigen Patch-Day haben Sicherheits-Experten eine Reihe weiterer Sicherheitslücken in Microsoft Office gemeldet. Microsoft...

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.640
Alter
40




Passend zum gestrigen Patch-Day haben Sicherheits-Experten eine Reihe weiterer Sicherheitslücken in Microsoft Office gemeldet. Microsoft untersucht die Berichte, dem Unternehmen sind aber noch keine Vorfälle bekannt, bei denen diese Lücken aktiv ausgenutzt werden. Allerdings haben Angreifer nun bis zum nächsten Patch-Day Zeit, Opfer zu finden.

Sicherheitsexperten wollen mehrere Lücken in Microsoft Office gefunden haben . Entsprechender Beispielcode steht dabei zum Download bereit. Die Details zu den Lücken sind noch recht spärlich. Zwei der Lücken betreffen Word 2007 und könnten DOS-ähnliche Angriffe ermöglichen, bei der die CPU-Last auf 100 Prozent ansteigt. Die dritte Lücke soll die Ausführung von remote Code erlauben und in den vierten Angriffspunkt soll die ".hlp"-Erweiterung für Hilfe-Dateien verwickelt sein.

Microsoft untersucht die Berichte derzeit, über eine aktive Ausnutzung dieser Lücken ist aber noch nichts bekannt. Wie schnell das jedoch gehen kann, hat nicht zuletzt die ANI-Lücke bewiesen , bei der Microsoft außerplanmäßig einen Patch bereit stellen musste. Bis zum Abschluss der Untersuchung gilt: Seien Sie vorsichtig mit Word- oder anderen Dateien, die Sie unaufgefordert und eventuell von unbekannten Personen erhalten und öffnen Sie diese nicht.

Es ist wie mit dem Hasen und dem Igel: Sobald Microsoft an einer Stelle Sicherheitslücken in seinen Produkten stopft, werden weitere Lücken an anderen Stellen gemeldet. Dumm nur, wenn der Patch Day gerade vorbei ist und Hacker nun bis zu vier Wochen Zeit haben, eine solche Lücke - auch Zero-Day-Exploit genannt - auszunutzen. Auf genau diese Taktik greifen Hacker wie manche Sicherheitsexperten in der letzten Zeit verstärkt zurück, immer öfter werden neue Lücken in den Tagen um einen Patch Day veröffentlicht. Eine Taktik, die durchaus kritisch zu bewerten ist. Während beispielsweise einige Sicherheitsexperten der Ansicht sind, dass nur solche Komplettveröffentlichungen (etwa mit passendem Beispielcode) den Hersteller so unter Druck setzen, schnell zu reagieren, können Hacker wegen solcher Veröffentlichungen gewaltigen Schaden verursachen. Gegen solche Veröffentlichungen spricht beispielsweise der Schutz der Anwender, die - solange kein Patch existiert - derartigen Lücken schutzlos ausgeliefert sind.

Was halten Sie von der Vorgehensweise mancher Sicherheitsexperten, eine Sicherheitslücke nicht nur zu melden, sondern detailliert zu schildern, bevor ein Patch bereit steht? Sollte dies zum Schutz der Anwender unterbleiben? Oder sind Sie der Ansicht, dass Hacker sowieso an das das nötige Know-How gelangen und eine detaillierte Veröffentlichung die Hersteller zu einer schnellen Reaktion zwingt? Posten Sie Ihre Meinung einfach in das Forum zu dieser News.

Quelle: IDG Magazine Media GmbH/PC-WELT Online
 

Michel

Dabei seit
09.11.2006
Beiträge
12.595
Alter
40
Ort
Wetterau
Was halten Sie von der Vorgehensweise mancher Sicherheitsexperten, eine Sicherheitslücke nicht nur zu melden, sondern detailliert zu schildern, bevor ein Patch bereit steht? Sollte dies zum Schutz der Anwender unterbleiben? Oder sind Sie der Ansicht, dass Hacker sowieso an das das nötige Know-How gelangen und eine detaillierte Veröffentlichung die Hersteller zu einer schnellen Reaktion zwingt? Posten Sie Ihre Meinung einfach in das Forum zu dieser News.

Ham wa doch schon nen Thread für... :wacko
 

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Na dann schieben sie halt einen Patch nach,wenn dem so ist.
 

DarkLord01

Dabei seit
16.07.2006
Beiträge
264
Arbeitest Du noch mit Office97? :)

Ich würde in etwa eine Kombi aus beidem bevorzugen, nämlich, dass die Herstekker sofort reagieren, wenn eine Lücke bekannt wird. War bei Microsoft früher so, bevor der Patch-Day eingeführt wurde. Damals hieß es "für eine höhere Sicherheit", als Kritiker-Stimmen laut wurden, dass die Anwender so eventuell lange schutzlos ausgeliefert werden. Und jetzt sehen wir ja, was daraus geworden ist.
Ich denke, Microsoft sollte wieder die Patches so liefern wie früher: nicht erst 4 Wochen nach Bekanntgabe, sondern gleich, wenn diese fertiggestellt und verfügbar sind.
 
Thema:

Microsoft Office: Weitere Sicherheitslücken gemeldet

Microsoft Office: Weitere Sicherheitslücken gemeldet - Ähnliche Themen

Sicherheitslücke in Microsoft Excel für Installation von Schadsoftware durch DDE-Felder schließen?: Eine Lücke in Microsoft Excel macht theoretisch alle Nutzer der Software angreifbar und erlaubt es theoretisch externen Personen schädliche...
Spectre Next Generation (Spectre-NG): neue, noch riskantere Sicherheitslücken bei Intel-CPUs entdeckt - UPDATE: Die zu Beginn diesen Jahres aufgedeckten Sicherheitslücken Spectre und Meltdown scheinen nur der Anfang einer langen Odyssee gewesen zu sein...
AMD kündigt BIOS-Updates an, um die von CTS Labs veröffentlichten Sicherheitslücken in Kombination mit Windows-Patch zu schließen - UPDATE: Mark Papermaster, seinerseits Technik-Chef bei AMD, hat sich in einem Blogbeitrag ausführlich zu den von CTS Labs veröffentlichten...
CPU-Sicherheitslücke: laut Google nicht nur CPUs von Intel, sondern teilweise auch AMD und ARM betroffen - Microsoft bereitet Patch vor - UPDATE: Über die gestern berichtete CPU-Sicherheitslücke sind nun weitere, umfangreichere Informationen aufgetaucht. Neben einer genaueren Aufschlüsselung...
AMD Zen 2 soll erste AMD-CPU mit hardwareseitigen Schutz gegen Spectre-Sicherheitslücke werden - UPDATE: In einem im Rahmen der Eröffnungsnotizen zur Veröffentlichung der Quartalszahlen zum vierten Quartal 2017 durchgeführten Interview hat sich...
Oben