Noch ungepatcht

Kritische Lecks in Microsoft Office und Firefox 3.5

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Computernutzer müssen mal wieder auf der Hut sein: In der populären Bürosuite Microsoft Office und im beliebten Open-Source-Browser Firefox 3.5 klaffen gefährliche Sicherheitslücken.

Bei Office steckt die Schwachstelle in den Microsoft Office Web Components. Ein Angreifer würde damit die gleichen Rechte erhalten wie der lokale Benutzer (oft Admin!). Schlimmer noch: Bei der Verwendung des Browsers Internet Explorer lässt sich Code remote und unter Umständen ohne jegliches Zutun des Benutzers ausführen. Einen Patch hat Microsoft zwar noch nicht parat, jedoch empfiehlt das Unternehmen in einem Security Advisory, vorläufig die Ausführung der Office-Web-Komponenten im IE entweder manuell oder automatisiert zu unterbinden.

Der erst Ende Juni erschiene Firefox 3.5 ist durch eine Memory-Corruption-Schwachstelle im Zusammenhang mit der Verarbeitung von JavaScript-Code bedroht. Die Experten von Secunia bewerten das Leck als "highly critical". Über die milw0rm-Website wurde überdies bereits Exploit-Code in Umlauf gebracht. Bei Mozilla selbst ist noch nichts über den Fehler zu finden; die Liste der bekannten Schwachstellen führt Firefox 3.5 bisher nicht einmal auf.