Microsoft går nu ut och varnar för att hackare exploaterar en sårbarhet i Word 2010 som det ännu inte har släppts någon uppdatering för. Företaget har också publicerat ett automatiserat verktyg som skyddar användarna tills det kommer en uppdatering.

”En hackare kan exekvera skadlig kod på distans om någon luras att öppna en specialdesignad rtf-fil eller ett anpassat mejl i Outlook samtidigt som Word används som e-postvisare”, skriver Dustin Childs, talesman för Microsoft Trustworthy Group i ett blogginlägg.

Enligt den säkerhetsbulletin som Microsoft publicerade i går var det ursprungligen tre medlemmar från Googles säkerhetsgrupp som rapporterade om bristen till Microsoft.


För närvarande har man bara noterat attacker mot Word 2010 men betydligt fler versioner är i riskzonen.

Buggen ligger i Words språkkontroll för rtf-filer. Än så länge har man bara noterat attacker mot Word 2010 men enligt bulletinen ligger Word 2003, Word 2007, Word 2013 och Word 2013 RT också i riskzonen. Office for Mac 2011 är också sårbar.

Eftersom Word är det standardiserade redigeringsverktyget för Outlook 2007, Outlook 2010 och Outlook 2013 kan hackare trigga sårbarheten genom att lura potentiella offer att öppna eller förhandsvisa ett skadligt mejl. Microsoft uppger också att kriminella har möjlighet att utföra så kallade drive-by-attacker.

Det finns ännu ingen information om när det kan tänkas dyka upp en permanent uppdatering för bristen men Microsoft har i alla fall lagt ut ett Fix it-verktyg som löser problemet tillfälligt. Det stoppar helt enkelt Word från att öppna rtf-filer.

I väntan på en uppdatering kan det också vara värt att köra EMET (Enhanced Mitigation Experience Toolkit). Det aktiverar skyddstekniker såsom ASLR och DEP på manuell väg. Verktyget är i första hand anpassat för it-proffs.

IDG News