Microsoft: Zwanzig Lücken weniger

14.02.2007
Von Mike Hartmann

MS07-014: Codeausführung durch diverse Word-Lücken

Vier der sechs in diesem Bulletin beschriebenen Lücken betreffen das Parsen von bestimmten Elementen in Word-Dokumenten. Diese Art von Lücke ist bei den letzten Patch Days vermehrt bei diversen Office-Produkten aufgetreten. Dieses Mal geht es um das Parsen von Strings, Datenstrukturen, Grafiken und Funktionen.

Die fünfte Lücke dreht sich um die Feldfunktion, die die Anzahl der Worte im Dokument anzeigt. Bei der sechsten Lücke kommt es vor, dass Word den Benutzer nicht warnt, obwohl Makros im Dokument vorhanden sind.

Alle Lücken können zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers führen. Der Angreifer muss das Opfer dazu bringen, ein speziell präpariertes Word-Dokument zu öffnen.

Als kritisch sind die Lücken nur für Word 2000 eingestuft. In den anderen Word-Versionen sieht Microsoft diese Lücken lediglich als „Wichtig“ an.

MS07-014: Codeausführung durch diverse Word-Lücken

Datum

12.02.2007

Warnstufe

Kritisch

Betrifft

Word 2000, 2002, 2003, Office 2004 v Mac, Word Viewer 2003

Auswirkung

Ausführen beliebigen Codes

Workaround

siehe Security-Bulletin

Updates

siehe Security-Bulletin

CVE

CVE-2006-5994, CVE-2006-6456, CVE-2006-6561, CVE-2007-0208, CVE-2007-0209, CVE-2007-0515

Zur Startseite