Mozilla-Lücke auch in Word und MSN Messenger vorhanden

Das Problem liegt im Umgang mit der Windows-Funktion "shell:". Über diese können Programme gestartet werden, die mit bestimmten Dateiendungen wie .DOC oder .TXT verknüpft sind. In älteren Versionen von Mozilla, Firefox und Thunderbird war der Zugang zu "shell:" nicht richtig beschränkt. Dadurch konnten Angreifer unter bestimmten Umständen beliebigen Code ausführen. Die Mozilla Entwickler haben mittlerweile einen Patch veröffentlicht, der dies ändert [1].

Gemäss einer Meldung der dänischen Sicherheitsfirma Secunia weisen die beiden Microsoft-Programme Word 2002 und MSN Messenger 6.x genau dieselbe Lücke auf [2]. Klickt ein Anwender auf einen entsprechend präparierten Link in einem Word-Dokument oder in einer MSN-Messenger-Nachricht, kann ein Angreifer andere Programme aufrufen und ihnen Dateinamen übergeben. Ein Patch existiert noch nicht. Microsoft untersucht aber nach eigenen Angaben das Problem. Es sei dem Konzern jedoch noch kein Fall bekannt, in dem die Lücke ausgenutzt worden ist. Secunia empfiehlt Anwendern, vorübergehend auf keine MSN-Messenger- und Word-Dokument-Links von unvertrauenswürdigen Quellen zu klicken.