Makro-Lücke in Word für Windows und MacOS

Ein Patch schließt eine Lücke in Word für Windows. Benutzer von Word für den Mac müssen jedoch noch warten. Ohne den Flicken könnte ein Angreifer über eine RTF-Datei beliebige Makros ausführen.

Standardmäßig warnt Word den Benutzer, wenn eine zu öffnende Datei Makros enthält. Dies geschieht, indem der Sicherheitsmechanismus das Dokument selbst und darin verlinkte Vorlagen auf Makros überprüft. Nur bei RTF-Dateien funktioniert dieser Mechanismus nicht.

Versteckt ein Angreifer ein Makro in einer Vorlage und linkt via RTF-Datei darauf, wird der Benutzer nicht um Erlaubnis gefragt, ob das Makro ausgeführt werden soll. Damit ist, je nach Makro, die Tür zum Rechner auf Benutzerebene offen.

Die Lücke existiert bei Word für Windows in den Versionen 97 und 2000 und in Word für MacOS Version 98 und 2001. Andere Office-Programme sind nicht betroffen. Microsoft hat die Lücke im Security Bulletin MS01-028 beschrieben. Patches sind derzeit nur für die Windows-Versionen Word 2000 und Word 97 zu haben. Für die anderen betroffenen Versionen sollen sie in Kürze folgen. Über weitere Lücken informiert der Office 2000 Bugreport. (uba)