Web

 

Sicherheitslücke in Word ermöglicht Datendiebstahl

13.09.2002

MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor einem Leck in den Word-Versionen 97, 2000 und XP, durch das Angreifer unbefugten Zugriff auf persönliche Daten bekommen können. Der Fehler steckt in der "Includetext"-Funktion, durch die Daten in eine Word-Datei eingebettet werden können. Ausnutzen lässt er sich zum Beispiel in Umgebungen, in denen es üblich ist, Dokumente zur gegenseitigen Bearbeitung auszutauschen. Wird ein manipuliertes Dokument geöffnet, integriert es automatisch Inhalte anderer Dateien. Der Vorgang lässt sich so tarnen, dass er vom betroffenen Anwender nicht bemerkt wird. Wenn er die Datei nach dem Bearbeiten abspeichert und an den Absender zurückschickt, landen bei diesem unter Umständen auch persönliche Daten. Dazu muss der Angreifer jedoch die Namen der auszuspähenden Files kennen. Das Leck lässt sich dennoch effektiv nutzen, indem Hacker etwa namentlich bekannte

Konfigurationsdateien ausspionieren und so die Grundlage für weitere Attacken schaffen.

Über die Sicherheitslücke wird bereits seit Ende August in der Mailing-Liste Bugtraq diskutiert. Laut Microsoft handelt es sich nicht um einen einfach zu behebenden Programmierfehler, sondern um ein Problem in der Software-Architektur. Patches seien deswegen noch nicht verfügbar. Fehlerbereinigungen sind ohnehin nur für die Word-Versionen 2000 und XP zu erwarten, da die Version 97 der Textverarbeitung nicht mehr unterstützt wird. (lex)