Kritische Sicherheitslücke bei Microsoft Office - Sicherheitsupdate verfügbar

Eine kritische Sicherheitslücke in Microsoft Office wird bereits von einem Botnetz genutzt.

Keine umfangreichere Software ist komplett fehlerfrei - bei kleinen Bugs lässt sich darüber hinwegsehen, kritische Fehler hingegen sind unter Umständen ein Sicherheitsrisiko. Eine Zero-Day-Lücke in Microsoft Office wird bereits im großen Stile genutzt um Rechner zu infizieren.

Verteilt wird der Angriffscode via eMail: Über das Necurs-Botnetz werden Mails mit versuchten RTF-Dokumenten im Anhang verschickt. Auch das CERT warnt vor den Angriffen und vor dem gedankenlosen Öffnen von Mails mit Anhang. Als Folge eines erfolgreichen Angriffes fügt die Malware den infizierten Rechner einem Botnetz hinzu, Angreifer können über die Sicherheitslücke aber auch vollen Zugriff auf den infizierten PC bekommen.

Sicherheitsupdate bereits verfügbar

Microsoft hat schnell reagiert und verteilt bereits seit kurzem Updates, die diese Office-Lücke schließen. Trotzdem sind noch immer viele Spam-Mails mit infizierten Dateianhängen unterwegs, die auf diese Lücke abzielen. Üblicherweise werden die Updates automatisch installiert, wer aber seinen PC nur manuell mit Updates versorgt, sollte das Office-Update aus Sicherheitsgründen besser sofort installieren.

Zudem ist der Support für Windows Vista abgelaufen, Nutzer eines Vista-PCs erhalten damit keine Sicherheitsupdates mehr. Benutzer von Windows 7 haben hingegen noch bis Januar 2020 Zeit.

Insgesamt patcht Microsoft beim April-Patchday 12 Lücken in Windows und weiteren Microsoft-Programmen wie .NET Framework, Office oder Silverlight. Zwei davon sind als kritisch eingestuft, bei einer davon handelt es sich um die erwähnte Office-Lücke.