Abo
  • Services:

Sicherheitsleck in Visual Basic erlaubt Programmausführung

Alle Office-Applikationen und weitere Microsoft-Produkte betroffen

Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

Artikel veröffentlicht am ,

Das Sicherheitsleck in Visual Basic for Applications (VBA) tritt auf, weil die VBA-Komponente zur Überprüfung der Dokumenteigenschaften einen Fehler aufweist. Wird ein Dokument von der Host-Applikation geöffnet, tritt ein Buffer Overrun auf, worüber ein Angreifer beliebige Programme mit den Rechten des angemeldeten Nutzers ausführen kann. Microsoft stuft das Sicherheitsrisiko als hoch ein.

Stellenmarkt
  1. BWI GmbH, Erfurt
  2. über duerenhoff GmbH, München

VBA ist Bestandteil zahlreicher Office-Applikationen von Microsoft, so dass neben etlichen Word-, Excel-, PowerPoint- und Access-Versionen auch die Programme Project, Publisher, Visio, die WorksSuite sowie etliche Business-Solutions aus dem Hause Microsoft davon betroffen sind. Wird etwa Word in Outlook als HTML-Editor eingebunden, genügt bereits das Antworten oder Weiterleiten einer E-Mail, damit ein Angreifer sich das Sicherheitsleck zu Nutze machen kann. Als weitere Angriffsvariante muss ein Angreifer den Anwender lediglich dazu bringen, eine Office-Datei zu öffnen.

Ein weiteres Sicherheitsleck betrifft den zum Lieferumfang von Access gehörenden Access-Viewer, worüber eine Datenbank für andere erstellt werden kann, die auch ohne eine Access-Installation eingesehen werden kann. Auch hier führt eine Sicherheitslücke dazu, dass ein Angreifer Programmcode mit den Rechten des angemeldeten Nutzers ausführen kann, wenn dieser das Opfer auf eine entsprechend formatierte Webseite schleust.

Microsoft bietet über ein aktuelles Security Bulletin Patches für die verschiedenen Office- und Microsoft-Applikationen gegen das VBA-Sicherheitsleck zum Download an. Für die Sicherheitslücke im Access-Viewer stehen Patches ebenfalls zum Download bereit.



Anzeige
Top-Angebote
  1. 54,99€
  2. 59,99€
  3. 99,00€
  4. (aktuell u. a. AMD Ryzen 7 2700 + The Division 2 219,90€)

is ja schlimm 05. Sep 2003

Na Hauptsache, wir müssen Deine Rechtschreibkünste tolerieren...

Zoth-Ommog 04. Sep 2003

VBA != VB

TAFKAR 04. Sep 2003

So wie ich das verstanden habe, mus der Code nicht einmal ausgeführt werden, er muss blos...

ächz 04. Sep 2003

bin leider zum falschen Artikel "verrutscht", war eigentlich gedacht für: Zwei schwere...

ächz 04. Sep 2003

http://www.microsoft.com/downloads/details.aspx?FamilyID=7e3eab1f-b313-44f4-8900...


Folgen Sie uns
       


Samsung Galaxy S10 Plus - Test

Das Galaxy S10+ ist Samsungs neues, großes Top-Smartphone. Im Test haben wir uns besonders die neue Dreifachkamera angeschaut.

Samsung Galaxy S10 Plus - Test Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. EC2 G4 AWS nutzt Nvidias Tesla T4 für Inferencing-Cloud
  2. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  3. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)

Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

    •  /