Notlösungen für Excel- & Adobe-Lücken

«Adobe ist der neue Internet Explorer» wettert ein F-Secure-Virenforscher in deren Labor-Weblog. Das Fazit seines Artikels geht z. B. mit dem Adobe Reader hart ins Gericht: «Vermeiden Sie ihn aus Sicherheitsgründen, sofern Sie können.» Der Vergleich mit dem Internet Explorer spielt auf die hohe Anfälligkeit des Produkts gegenüber Schädlingen an. Der PCtipp berichtete bereits kürzlich über die kritische Sicherheitslücke im verbreiteten PDF-Betrachter.

Auch in Microsoft Excel klafft nach wie vor ein hoch kritisches Leck (siehe PCtipp-News vom 25. Februar 2009). Beiden gemeinsam ist, dass sie offenbar bereits aktiv von der Schädlingsschreiberszene ausgenutzt werden.

Bei Microsoft Excel sind die Versionen von 2000 bis 2007, Excel Viewer, das Office Compatibility Pack, Office 2004 und 2008 für Mac sowie der Open-XML-Dateiformat-Konverter für Mac betroffen. Microsoft rät in einem Sicherheitsartikel (nur in Englisch verfügbar) zur Nutzung des «Microsoft Office Isolated Conversion Environment», abgekürzt MOICE. Damit seien immerhin Excel 2003 und Excel 2007 vor der Lücke geschützt, bis ein entsprechendes Update bereitstehe. Den Artikel zum MOICE-Download selbst gibts auch in Deutsch. Er erklärt, wie Sie MOICE nach der Installation aktivieren und gegebenenfalls wieder deaktivieren.

Beim obigen Vorgehen handelt es sich nur um einen Workaround. Wenn Sie ohnehin keine Office-Dateien aus unbekannten Quellen öffnen, können Sie auf die MOICE-Installation verzichten. Wann das Update gegen die Excel-Lücke erscheint, ist noch nicht bekannt.

Adobe plant, am 11. März 2009 ein Update für Adobe Acrobat und Reader Version 9 zu veröffentlichen. Eine Woche später sollen Upates für frühere Acrobat- und Reader-Versionen erscheinen. Gemäss Adobe könne man die Sicherheit auch erhöhen, indem man in deren Produkten JavaScript abschalte: Im Menü Bearbeiten/Voreinstellungen/JavaScript knipse man hierzu die Option «Acrobat JavaScript aktivieren» aus. Das ist jedoch nur die halbe Miete, wie das Sicherheitsunternehmen Secunia schreibt. Das Abschalten von JavaScript helfe zwar gegen verschiedene auf Adobe-Software gerichtete Angriffe, jedoch nicht gegen die besagte Lücke.

F-Secures Empfehlung ist da pragmatischer: Zumindest zum Adobe Reader gebe es verschiedene kostenlose Alternativen. Die seien nicht nur sicherer, sondern darüber hinaus auch schlanker.

Wer sich eines der alternativen PDF-Anzeigeprogramme anschauen will, wird im PCtipp-Download-Bereich fündig. Da gibts zum Beispiel den Foxit-Reader, den PDF-XChange Viewer Free sowie den Sumatra PDF Viewer .