Suchen

Angreifer nutzen Office-Schwachstelle aus Microsoft Office Web Components anfällig für externe Code-Ausführung

Redakteur: Stephan Augsten

Microsoft warnt in einem aktuellen Security Advisory vor einer Schwachstelle in den Web-Komponenten von Office. Die Sicherheitslücke findet sich in einer ActiveX-Komponente der Tabellenkalkulation, die der Internet Explorer nutzt, um Office-Daten darzustellen. Microsoft zufolge machen sich Angreifer die Schwachstelle bereits zunutze.

Firmen zum Thema

Microsoft registriert derzeit Internet-Angriffe auf die Office Web Componentes.
Microsoft registriert derzeit Internet-Angriffe auf die Office Web Componentes.
( Archiv: Vogel Business Media )

Laut einem Eintrag im „Security Research & Defense“-Blog hat Microsoft Kenntnis von Web-Angriffen auf eine Schwachstelle in den Office Web Components (OWC) 10 und 11. Mit deren Hilfe können Anwender Tabellenkalkulationen, Diagramme und Datenbanken im Internet ansehen.

Dem Microsoft Security Advisory 973472 zufolge findet sich die Sicherheitslücke in der Spreadsheet ActiveX Control. Weder Version 10 noch 11 der OWC sind standardmäßig unter Windows installiert, können aber nachträglich in etliche Microsoft-Produkte eingespielt werden. Dazu gehören Office XP, 2003 und 2007, BizTalk, der ISAServer sowie der Office Accounting and Business Contact Manager.

Um die Schwachstelle erfolgreich auszunutzen, ist in jedem Falle eine User-Aktion erforderlich. Neben dem direkten Besuch einer manipulierten Website sind laut Microsoft folgende Szenarien möglich:

  • Da das Öffnen von HTML-Mails in einer ActiveX-Zone nicht erlaubt ist, sind Microsoft zufolge Outlook und Outlook Express selbst nicht betroffen. Folgt ein Anwender allerdings einem Link auf eine bösartige Website, kann der Angreifer die Sicherheitlücke ausnutzen.
  • Auch Windows Server 2003 und 2008 sind nicht anfällig für die Schwachstelle – aber nur unter der Voraussetzung, dass der Anwender beim Browsen die Standard-Einstellungen gemäß der erweiterten Sicherheitskonfiguration (Enhanced Security Configuration, ESC) nicht verändert hat.
  • Ist OWC nicht auf dem Rechner installiert, wird der Anwender beim Besuch einer bösartigen Website vom IE 7 und 8 aufgefordert, die ActiveX-Komponente zu installieren.

Bis zur Veröffentlichung eines Patches bietet Microsoft einen automatischen Workaround für die OWC-Schwachstelle an, der das Ausführen entsprechender Komponenten im Internet Explorer verhindert. Technisch versierte Anwender und Administratoren können zudem manuell ein entsprechendes Killbit über die Registry setzen.

(ID:2040021)