Abo
  • Services:

Kritische Sicherheitslücken in etlichen Microsoft-Produkten

Fehlerhafte Programmkomponente Bestandteil verschiedener Software-Produkte

Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Artikel veröffentlicht am ,

Die Office Web Components (OWC) enthalten ActiveX-Controls, die eingeschränkte Funktionen von nicht installierten Office-Applikationen im Internet Explorer bieten und in denen drei Sicherheitslücken entdeckt wurden. Alle Sicherheitslecks lassen sich durch eine Webseite oder eine HTML-Mail ausnutzen.

Stellenmarkt
  1. Rentschler Biopharma SE, Laupheim
  2. Bundeskriminalamt, Wiesbaden

Eine Sicherheitslücke in der Funktion Host() erlaubt es, auf das Applications Object Model des betreffenden Systems zuzugreifen, was ein Angreifer dazu missbrauchen kann, eine Office-Applikation zu starten und so Betriebssystem-Befehle als angemeldeter Nutzer auszuführen.

Ein weiteres Sicherheitsloch findet sich in den Befehlen Copy() und Paste(), die Texte kopieren oder einfügen. Dabei wird die Deaktivierung der Sicherheits-Einstellung "Einfügeoperation über ein Skript zulassen" im Internet Explorer missachtet, so dass man über eine Webseite Zugriff auf die Zwischenablage des Anwenders erhält.

Schließlich steckt ein weiteres Leck in der Funktion LoadText(), worüber eine Webseite Text in ein Browser-Fenster laden kann. Dabei wird geprüft, ob der Text von der gleichen Domain stammt wie das geöffnete Browser-Fenster. Dieses lässt sich umgehen, womit ein Angreifer beliebige Dateien des betreffenden Systems einsehen kann.

Die betreffenden Office Web Components 2000 und 2002 sind Bestandteil der Microsoft-Produkte Office 2000, Office XP, Money 2002, Money 2003, Project 2002, BackOffice Server 2000, BizTalk Server 2000/2002, Commerce Server 2000/2002, Internet Security and Acceleration Server 2000, Project Server 2002 sowie dem Small Business Server 2000.

Microsoft bietet passende Updates ab sofort über das betreffende Security Bulletin zum Download an.



Anzeige
Blu-ray-Angebote

messy 23. Aug 2002

da machst du aber viele kreuze.

[NbG]-Black... 22. Aug 2002

mache kreuzchen im kalender an den tagen wo keine artikel über neue sicherheitslücken...

me 22. Aug 2002

passt ja sehr gut zu dem anderen Artikel im heutigen Newsletter : https://www.golem.de...


Folgen Sie uns
       


Cue Roboter - Test

Wir hatten Spaß mit dem frechen Cue.

Cue Roboter - Test Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
    Oneplus 6 im Test
    Neues Design, gleich starkes Preis-Leistungs-Verhältnis

    Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
    Ein Test von Tobias Költzsch

    1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
    2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin

      •  /