Nog steeds geen patch voor lek in Word 2000

Microsoft komt met slechts drie patches

13 september 2006 | Remco Mourits In zijn maandelijkse patchronde heeft Microsoft deze keer fixes uitgebracht voor slechts drie beveiligingslekken. Het bekende lek in Word 2000, dat al meerdere malen doelwit is geweest van aanvallen door hackers, moet het echter nog steeds zonder oplossing stellen.

Microsoft waarschuwde zelf vorige week dat het meldingen heeft binnengekregen van misbruik van het lek in Word 2000. Hackers sturen aangepaste Word-documenten via e-mail. Wanneer iemand zo'n document opent, wordt code uitgevoerd waardoor de hacker de controle over de pc in handen kan krijgen. Microsoft zegt aan een patch te werken, maar kreeg deze kennelijk niet tijdig af.

Het gewraakte lek lijkt op een lek in Office, dat Microsoft wél heeft gedicht met zijn update. Deze kreeg het label 'kritiek' mee; Microsofts hoogste waarschuwingsgraad.

Het betreft een fout in Microsoft Publisher in Office 2000, Office XP en Office 2003. Een hacker kan het misbruiken via een speciaal bewerkt Publisher-bestand. Net als bij het Word-lek geldt dat als een ontvanger dit opent, zijn computer op afstand kan worden overgenomen, aldus security bulletin MS06-054.

De lay-out-tool Publisher is echter een veel minder vaak gebruikte applicatie dan Word, waardoor het lek in Word toch gevaarlijker moet worden geacht. Microsoft adviseert wel ook Office-gebruikers die Publisher niet hebben geïnstalleerd om de patch te installeren, omdat andere Office-applicaties gebruikmaken van sommige van de incorrecte bestanden.

De twee andere lekken waarvoor patches zijn verschenen, betreffen fouten in Windows. Een fout in een protocol voor het uitwisselen van data in Windows XP stelt een hacker in staat de controle over een systeem over te nemen, aldus Microsoft in security bulletin MS06-052. Het protocol, Pragmatic General Multicast (PGM), is echter onderdeel van Microsoft Message Queuing, en dat is in de standaard configuratie uitgeschakeld. Het gevaar blijft daardoor beperkt.

Het derde lek betreft een fout in Microsoft Indexing Service. Een hacker kan hierdoor met behulp van een script willekeurige informatie van de getroffen pc stelen, aldus security bulletin MS06-053.

Zoals gebruikelijk worden de patches automatisch verstrekt via Microsofts Automatic Updates service. Ook zijn ze handmatig te downloaden.

Met een bijdrage van Joris Evers, CNet Lees meer artikels over : patch, word, windows, office

bron: ZDNet