Web

 

Microsoft schließt Sicherheitslücken in Word und Excel

20.06.2002

MÜNCHEN (COMPUTERWOCHE) - Mit einem Sammel-Patch behebt Microsoft vier Sicherheitslücken in den Word- und Excel-Versionen 2000 und XP. Drei der Fehler betreffen die Tabellenkalkulation. So können Hacker mit in Arbeitsmappen eingebetteten Makros Sicherheitseinstellungen des "Macro Security Models" umgehen und beliebigen Code auf dem Rechner ausführen. Ein weiteres Risiko besteht, wenn Excel-Arbeitsblätter über eine Verknüpfung in einer Zeichenform geöffnet werden. Hier lassen sich ebenfalls schädliche Makros einklinken, die mit dem Klick auf die Verknüpfung automatisch gestartet werden. Problematisch ist auch die Verarbeitung von XSL-Stylesheets. Ein Leck kann dazu führen, dass HTML-Skripts in Tabellen für Benutzer gesetzte Sicherheitseinstellungen umgehen.

In Word 2000 und XP hat sich wie schon in die Version 97 die so genannte Mail-Merge-Lücke eingeschlichen. Durch sie können Angreifer via VBA-Makro (Visual Basic for Applications) beliebigen Code ausführen, wenn der Anwender einen Serienbrief in der Textverarbeitung öffnet. Allerdings muss das Dokument dazu im HTML-Format vorliegen und die Datenbank Access installiert sein.

Die Patches für die einzelnen Programmversionen hat Microsoft zum Download bereitgestellt. Sie sollen auch alle bislang entdeckten Fehler in der Software beheben. (lex)