Abo
  • Services:

Zwei schwere Sicherheitslücken in Microsofts Office-Paketen

Leck in Word umgeht Makro-Sicherheitsmodell; Makros werden automatisch gestartet

In zwei aktuellen Security Bulletins berichtet Microsoft über schwere Sicherheitslücken in zahlreichen Office-Produkten aus Redmond. Ein Leck umgeht das Sicherheitsmodell von Word bei der Ausführung von Makros, so dass diese ohne Patch automatisch gestartet werden. Eine weitere Sicherheitslücke betrifft den WordPerfect-Konverter, worüber ein Angreifer beliebige Befehle innerhalb der entsprechenden Office-Applikation ausführen kann.

Artikel veröffentlicht am ,

Die Sicherheitslücke in Word erlaubt es einem Angreifer, das Sicherheitsmodell bei der Ausführung von Makros zu umgehen, so dass die Deaktivierung der Makro-Ausführung wirkungslos bleibt. Ein Angreifer kann so beliebigen Makro-Code innerhalb aller Word-Versionen ab der 97er-Version ausführen und so eine weitreichende Kontrolle über ein fremdes System erlangen, um Dateien zu löschen oder auch eine Festplatte zu formatieren. Ein Angreifer muss ein Opfer lediglich dazu bringen, eine Word-Datei zu starten, was in Anbetracht etlicher Word-Anhänge in E-Mails wohl ein Leichtes sein dürfte.

Stellenmarkt
  1. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld
  2. Landeshauptstadt Stuttgart, Stuttgart

Die zweite empfindliche Sicherheitslücke steckt im WordPerfect-Konverter, der von etlichen Office-Applikationen von Microsoft eingesetzt wird, um entsprechende Dokumente öffnen und bearbeiten zu können. Über eine speziell formatierte WordPerfect-Datei kann ein Angreifer beliebige Befehle innerhalb der entsprechenden Office-Applikation ausführen. Neben Word benutzen auch PowerPoint, FrontPage, Publisher und die Works Suite den betreffenden Konverter. Wie auch beim Makro-Sicherheitsleck braucht ein Angreifer ein Opfer nur dazu bringen, ein entsprechend präpariertes WordPerfect-Dokument zu öffnen, um die Sicherheitslücke ausnutzen zu können.

Microsoft stellt ab sofort Patches zur Behebung der Makro-Sicherheitslücke für die verschiedenen Word-Versionen zum Download bereit. Weitere Patches sollen die Sicherheitslücke im WordPerfect-Konverter in den verschiedenen Microsoft-Applikationen beheben.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (nur für Prime-Mitglieder)
  3. 4,25€

Michael 04. Sep 2003

Das gibts! Besorge Dir TeX und LaTeX und lerne, die Makros zu bedienen. Ehrlich, Du wirst...

TAFKAR 04. Sep 2003

Wow, diese Argumentation hat mich überzeugt. Ich habe bereits alle Schritte eingeleitet...

ächz 04. Sep 2003

hier stehts bereits: https://forum.golem.de/phorum/read.php?f=47&i=6202&t=6175 forums-link

Laser VZ 200 04. Sep 2003

Zitat: "Interessant wäre, nachzuprüfen, inwieweit es dieses Sicherheitsproblem in...

bully 04. Sep 2003

Hi ich glaube Office 97 wird nicht mehr Unterstützt. So wie das neue Office 2003 nicht...


Folgen Sie uns
       


Golem.de spielt die Battlefield 5 Closed Alpha

Zwölf Stunden haben wir in der Closed Alpha des kommenden Shooters im Zweiten Weltkrieg Battlefield 5 verbracht - Zeit für eine erste Analyse der Änderungen.

Golem.de spielt die Battlefield 5 Closed Alpha Video aufrufen
Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Die Digitalisierung des Weltraums
  2. Raumfahrt Mann überprüft mit Rakete, ob die Erde eine Scheibe ist
  3. Raumfahrt Falsch abgebogen wegen Eingabefehler

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

    •  /