Opnieuw lek in Word, patch pas in januari
Gepubliceerd: Maandag 11 december 2006
Auteur: Niels de Rijk
Microsoft waarschuwt opnieuw voor een 0day-lek in Word. Hoewel het lek reeds actief wordt misbruikt, laat een patch nog even op zich wachten.
Het nieuwe lek in Word stelt kwaadwillenden in staat om eigen codes uit te voeren. Microsoft houdt verdere details angstvallig geheim.
Volgens Scott Deacon van het Microsoft Security Response Center komt het lek voor in Word 2000, 2002, 2003 en de Word Viewer 2003. Gebruikers van Word 2007 zijn niet kwetsbaar, zo meldt Deacon. Het lek zou alleen 'op kleine schaal' worden misbruikt.
Het nieuwe lek in Word is het tweede in korte tijd. Vorige week waarschuwde Microsoft nog dat aanvallers een geheugenfout kunnen misbruiken en de controle over een pc kunnen overnemen. Het enige dat een aanvaller hoeft te doen is een speciale reeks karakters in een Word-bestand plaatsen en deze door een potentieel slachtoffer laten openen.
Microsoft bevestigde vrijdag dat het - actief misbruikte - lek niet op de aankomende patchdag (12 december) zal worden gedicht. Ook het nieuwe lek blijft voorlopig ongedicht. Naar verwachting zal Microsoft pas in januari een patch uitbrengen.
Microsoft heeft de laatste tijd steeds vaker last van 0day-aanvallers. De periode rond de maandelijkse patchdag is voor hackers hét moment om nieuwe aanvallen te lanceren. Office en Internet Explorer zijn daarbij de vaakst getroffen doelwitten.
Bron: Techworld
