News
17.07.2009, 06:48 Uhr
Ungestopfte Office-Lücke
In Microsoft Office besteht zurzeit eine Sicherheitslücke, die von Kriminellen ausgenützt wird. Es gibt noch keinen Patch, aber ein Hilfs-Tool, das die betroffene Funktion deaktiviert.
Microsoft hat am 13. Juli eine Sicherheitswarnung über eine bislang nicht öffentlich bekannte Office-Lücke herausgegeben. Diese wird über den Internet Explorer ausgenutzt. Zum Veröffentlichungszeitpunkt waren nur relativ wenige Angriffe bekannt, doch das hat sich inzwischen geändert. Exploit-Code für die ActiveX-Lücke ist mittlerweile Bestandteil von Angriffs-Toolkits.
Der Fehler liegt in einer Webkomponente von Microsoft Office, dem «Office Web Components Spreadsheet ActiveX-Steuerelement» (OWC 10 und OWC11). Sie dient etwa zum Veröffentlichen von Excel-Tabellen im Web und wird standardmässig mit Office XP (OWC10) und Office 2003 (OWC 10 und OWC11) installiert. Bei Office 2007 ist die Komponente optional. Sie kann auch separat bei Microsoft heruntergeladen werden.
Ein Angreifer kann eine Webseite so präparieren, dass allein der Besuch dieser Seite mit dem Internet Explorer bereits genügt, um Malware einzuschleusen. Ein Angreifer muss potenzielle Opfer also nur auf diese Seite locken. Dazu reicht auch eine automatische Weiterleitung von einer gehackten, legitimen Website. Andere Möglichkeiten sind Links, die zum Beispiel per Mail, Instant Messenger oder etwa über Twitter verbreitet werden.
Beim Patch Day dieser Woche hat Microsoft noch kein Sicherheits-Update ausgeliefert, das diese Schwachstelle ausräumt. Es gibt jedoch im Artikel KB973472 der Microsoft Knowledge Base ein Hilfs-Tool, das verhindert, dass das ActiveX-Steuerelement im Internet Explorer geladen wird. Klicken Sie zum Herunterladen des Tools auf den Button links (Problemungehung aktivieren).
Der Fehler liegt in einer Webkomponente von Microsoft Office, dem «Office Web Components Spreadsheet ActiveX-Steuerelement» (OWC 10 und OWC11). Sie dient etwa zum Veröffentlichen von Excel-Tabellen im Web und wird standardmässig mit Office XP (OWC10) und Office 2003 (OWC 10 und OWC11) installiert. Bei Office 2007 ist die Komponente optional. Sie kann auch separat bei Microsoft heruntergeladen werden.
Ein Angreifer kann eine Webseite so präparieren, dass allein der Besuch dieser Seite mit dem Internet Explorer bereits genügt, um Malware einzuschleusen. Ein Angreifer muss potenzielle Opfer also nur auf diese Seite locken. Dazu reicht auch eine automatische Weiterleitung von einer gehackten, legitimen Website. Andere Möglichkeiten sind Links, die zum Beispiel per Mail, Instant Messenger oder etwa über Twitter verbreitet werden.
Beim Patch Day dieser Woche hat Microsoft noch kein Sicherheits-Update ausgeliefert, das diese Schwachstelle ausräumt. Es gibt jedoch im Artikel KB973472 der Microsoft Knowledge Base ein Hilfs-Tool, das verhindert, dass das ActiveX-Steuerelement im Internet Explorer geladen wird. Klicken Sie zum Herunterladen des Tools auf den Button links (Problemungehung aktivieren).
Kommentare
Es sind keine Kommentare vorhanden.