Abo
  • Services:
Anzeige

Kritische Sicherheitslücken in etlichen Microsoft-Produkten

Fehlerhafte Programmkomponente Bestandteil verschiedener Software-Produkte

Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Anzeige

Die Office Web Components (OWC) enthalten ActiveX-Controls, die eingeschränkte Funktionen von nicht installierten Office-Applikationen im Internet Explorer bieten und in denen drei Sicherheitslücken entdeckt wurden. Alle Sicherheitslecks lassen sich durch eine Webseite oder eine HTML-Mail ausnutzen.

Eine Sicherheitslücke in der Funktion Host() erlaubt es, auf das Applications Object Model des betreffenden Systems zuzugreifen, was ein Angreifer dazu missbrauchen kann, eine Office-Applikation zu starten und so Betriebssystem-Befehle als angemeldeter Nutzer auszuführen.

Ein weiteres Sicherheitsloch findet sich in den Befehlen Copy() und Paste(), die Texte kopieren oder einfügen. Dabei wird die Deaktivierung der Sicherheits-Einstellung "Einfügeoperation über ein Skript zulassen" im Internet Explorer missachtet, so dass man über eine Webseite Zugriff auf die Zwischenablage des Anwenders erhält.

Schließlich steckt ein weiteres Leck in der Funktion LoadText(), worüber eine Webseite Text in ein Browser-Fenster laden kann. Dabei wird geprüft, ob der Text von der gleichen Domain stammt wie das geöffnete Browser-Fenster. Dieses lässt sich umgehen, womit ein Angreifer beliebige Dateien des betreffenden Systems einsehen kann.

Die betreffenden Office Web Components 2000 und 2002 sind Bestandteil der Microsoft-Produkte Office 2000, Office XP, Money 2002, Money 2003, Project 2002, BackOffice Server 2000, BizTalk Server 2000/2002, Commerce Server 2000/2002, Internet Security and Acceleration Server 2000, Project Server 2002 sowie dem Small Business Server 2000.

Microsoft bietet passende Updates ab sofort über das betreffende Security Bulletin zum Download an.


eye home zur Startseite
messy 23. Aug 2002

da machst du aber viele kreuze.

[NbG]-Black... 22. Aug 2002

mache kreuzchen im kalender an den tagen wo keine artikel über neue sicherheitslücken...

me 22. Aug 2002

passt ja sehr gut zu dem anderen Artikel im heutigen Newsletter : https://www.golem.de...



Anzeige

Stellenmarkt
  1. BIOSCIENTIA Institut für Medizinische Diagnostik GmbH, Ingelheim
  2. ViaMedia AG, nordöstlich von Stuttgart
  3. SYNLAB Holding Deutschland GmbH, Augsburg
  4. congatec AG, Deggendorf


Anzeige
Top-Angebote
  1. 0,00€
  2. (heute u. a. Nintendo Handhelds und Spiele, Harry Potter und Mittelerde Blu-rays, Objektive, Lenovo...

Folgen Sie uns
       

  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto
  2. Kein Plug-in-Hybrid Rolls-Royce Phantom wird vollelektrisch
  3. Ionity Shell beteiligt sich am Aufbau einer Ladeinfrastruktur

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: Golem Was soll das? Überschrift geht ja garnicht

    DebugErr | 02:35

  2. Re: Rechtschreibung Überschrift

    cicero | 01:05

  3. Der Bedarf steigt

    cicero | 01:04

  4. Re: Für was der Bedarf an Wildcard-Zertifikaten?

    Tragen | 00:52

  5. Re: Das wird total abgefahren....

    sofries | 00:52


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel