• IT-Karriere:
  • Services:

Sicherheitsleck in Visual Basic erlaubt Programmausführung

Alle Office-Applikationen und weitere Microsoft-Produkte betroffen

Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

Artikel veröffentlicht am ,

Das Sicherheitsleck in Visual Basic for Applications (VBA) tritt auf, weil die VBA-Komponente zur Überprüfung der Dokumenteigenschaften einen Fehler aufweist. Wird ein Dokument von der Host-Applikation geöffnet, tritt ein Buffer Overrun auf, worüber ein Angreifer beliebige Programme mit den Rechten des angemeldeten Nutzers ausführen kann. Microsoft stuft das Sicherheitsrisiko als hoch ein.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz

VBA ist Bestandteil zahlreicher Office-Applikationen von Microsoft, so dass neben etlichen Word-, Excel-, PowerPoint- und Access-Versionen auch die Programme Project, Publisher, Visio, die WorksSuite sowie etliche Business-Solutions aus dem Hause Microsoft davon betroffen sind. Wird etwa Word in Outlook als HTML-Editor eingebunden, genügt bereits das Antworten oder Weiterleiten einer E-Mail, damit ein Angreifer sich das Sicherheitsleck zu Nutze machen kann. Als weitere Angriffsvariante muss ein Angreifer den Anwender lediglich dazu bringen, eine Office-Datei zu öffnen.

Ein weiteres Sicherheitsleck betrifft den zum Lieferumfang von Access gehörenden Access-Viewer, worüber eine Datenbank für andere erstellt werden kann, die auch ohne eine Access-Installation eingesehen werden kann. Auch hier führt eine Sicherheitslücke dazu, dass ein Angreifer Programmcode mit den Rechten des angemeldeten Nutzers ausführen kann, wenn dieser das Opfer auf eine entsprechend formatierte Webseite schleust.

Microsoft bietet über ein aktuelles Security Bulletin Patches für die verschiedenen Office- und Microsoft-Applikationen gegen das VBA-Sicherheitsleck zum Download an. Für die Sicherheitslücke im Access-Viewer stehen Patches ebenfalls zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Total War Three Kingdoms - Royal Edition für 19,99€, Wreckfest für 12,99€, Wreckfest...
  2. ab 299,85€ neuer Tiefpreis auf Geizhals
  3. exklusiv für Prime-Mitglieder
  4. 85€ (mit Rabattcode "POWEREBAY7E" Bestpreis!)

is ja schlimm 05. Sep 2003

Na Hauptsache, wir müssen Deine Rechtschreibkünste tolerieren...

Zoth-Ommog 04. Sep 2003

VBA != VB

TAFKAR 04. Sep 2003

So wie ich das verstanden habe, mus der Code nicht einmal ausgeführt werden, er muss blos...

ächz 04. Sep 2003

bin leider zum falschen Artikel "verrutscht", war eigentlich gedacht für: Zwei schwere...

ächz 04. Sep 2003

http://www.microsoft.com/downloads/details.aspx?FamilyID=7e3eab1f-b313-44f4-8900...


Folgen Sie uns
       


    •  /