Web

 

Sicherheitslücke in Office Web Components

22.08.2002

MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor drei Sicherheitslücken in den "Office Web Components", über die Angreifer unbefugten Zugriff auf betroffene Rechner bekommen können. Der Fehler steckt in einem Active-X-Control, das die Funktionsaufrufe "Host", "LoadText" und "Copy/Paste" einbindet. Hacker können die Aufrufe über präparierte Web-Seiten oder HTML-Mails manipulieren und Schadroutinen auf den PCs ausführen.

Mit den Web Components lassen sich Office-Funktionen über das Internet nutzen, ohne ein komplettes Office installiert zu haben. Betroffen sind deshalb nicht nur Nutzer des Microsoft-Büropaktes. Die Komponenten stecken in

BackOffice Server 2000,

BizTalk Server 2000 und 2002,

Commerce Server 2000 und 2002,

Internet Security and Acceleration Server 2000,

Money 2002 und 2003,

Office 2000 und XP,

Project und Project Server 2002 sowie

Small Business Server 2000.

Microsoft hat zwar einen Patch bereitgestellt, weist jedoch darauf hin, dass dieser nicht in jedem Anwendungsfall Abhilfe schafft. Denn das betroffene Active-X-Control lässt sich nicht durch ein so genanntes "Kill Bit" gegen Zugriffe vom Internet Explorer abschotten, da es weitere notwendige Funktionen zur Verfügung stellt. Zum Beispiel setzen mit Microsoft Office erstellte Web-Seiten das Control voraus. Betroffenen Anwendern empfiehlt der Hersteller deshalb nicht nur, den Patch zu installieren, sondern auch die Liste der vertrauenswürdigen Sites in den Sicherheitseinstellungen des Internet Explorers zu löschen. (lex)