Eine Warnung vor einer Sicherheitslücke in der Textverarbeitung Word hat Microsoft herausgegeben. Angreifer könnten darüber von Ferne aus Schadcode auf fremden Systemen aufspielen und ausführen.

Wie Microsoft im Security Advisory 950627 meldet, wird derzeit nach einer Möglichkeit gesucht, die Lücke zu schließen. Die Jet Database Engine ist die Office-Komponente, die die Schwachstelle aufweist, genauer: Diejenige, die bei folgenden Word-Versionen unter Windows 2000, XP und Windows Server 2003 mit SP1 zum Einsatz kommt: Word 2000 SP 3, Word 2002 SP3, Word 2003 SP 2 und 3, Word 2007 ohne oder mit SP 1. Nicht gefährdet sind Andwender von Windows Vista oder Windows Server 2003 SP2, da deren Systeme eine neuere Variante der Jet Database Engine einsetzen.

Zum Einschleusen und auch Ausführen von Schadcode soll es genügen, wenn Anwender ein manipuliertes Word-Dokument öffnen. Da auch anderen Office-Programme die Jet-Engine nutzen, testet Microsoft derzeit auch, ob über das Leck auch durch andere Anwendungen, etwa Excel oder Access, Code eingeschleust werden kann. Grundsätzlich stuft Redmond die Gefahr des Sicherheitslecks für gering ein. Bislang habe man nur äußerst zielgerichtete Attacken registriert.

Quelle: Tom's Hardware