Quelle: Depositphotos
Zero-Day für Word ohne Makros entdeckt
Eine kritische Zero-Day-Lücke klafft derzeit in Microsofts Word. Bisher ist kein Fix für das Leck, das trotz deaktivierter Makros ausgenutzt werden kann, verfügbar.
31. Mai 2022
In Microsofts Word klafft derzeit eine kritische Zero-Day-Lücke namens Follina. Die Lücke wurde bereits im April 2022 entdeckt: Sie nutzt laut "The Register" eine Office-Funktion, um nach dem Öffnen eines Word-Anhangs ein HTML-File zu laden, welches letztlich Code auf dem Zielgerät ausführen soll. Code wird zwar nur im User-Profil ausgeführt, erlaubt aber gegebenenfalls das Aufrühren von Schadcode mit erweiterten Rechten. Pikant ist, dass der Exploit im Gegensatz zu anderen, vergleichbaren Beispielen auch funktioniert, wenn die Makros in Microsoft Office deaktiviert wurden.
Bisher gibt es keine befriedigenden Lösungen für das Problem, wie es weiter heisst. Als Lösungswege schlägt der Sicherheitsspezialist Huntress in einem detaillierten Blogpost etwa vor, dass man die Regeln von Microsoft Defender Attack Surface Reduction (ASR) nutzen soll. Alternativ kann laut Vulnerability Analyst Will Dormann die Dateitypzuordnung von ms-msdt entfernt werden, bis das Loch gestopft ist. (win)
Bisher gibt es keine befriedigenden Lösungen für das Problem, wie es weiter heisst. Als Lösungswege schlägt der Sicherheitsspezialist Huntress in einem detaillierten Blogpost etwa vor, dass man die Regeln von Microsoft Defender Attack Surface Reduction (ASR) nutzen soll. Alternativ kann laut Vulnerability Analyst Will Dormann die Dateitypzuordnung von ms-msdt entfernt werden, bis das Loch gestopft ist. (win)
Weitere Artikel zum Thema
Windows 11 kriegt bessere Übersicht über Microsoft-365-Lizenzen
27. Mai 2022 - Ein neuer Insider Build bringt für Windows 11 eine Übersicht über sämtliche Office- respektive Microsoft-365-Lizenzen, die ein Nutzer besitzt.Leak: Neue Designer-App von Microsoft
19. Mai 2022 - Die neu aufgetauchte Microsoft-App namens Designer dient der visuellen Gestaltung. Ob die App als Stand-alone oder integriert in eine bestehende Office-Applikation erscheint, ist noch offen.Support-Ende für Office 2013 im April 2023
19. April 2022 - In rund einem Jahr stellt Microsoft den Support für Office 2013 ein. Ab dem 11. April 2023 gibt es keine Sicherheits-Updates mehr für die Software.Artikel kommentieren
