Zwei schwere Sicherheitslücken in Microsofts Office-Paketen

Leck in Word umgeht Makro-Sicherheitsmodell; Makros werden automatisch gestartet

In zwei aktuellen Security Bulletins berichtet Microsoft über schwere Sicherheitslücken in zahlreichen Office-Produkten aus Redmond. Ein Leck umgeht das Sicherheitsmodell von Word bei der Ausführung von Makros, so dass diese ohne Patch automatisch gestartet werden. Eine weitere Sicherheitslücke betrifft den WordPerfect-Konverter, worüber ein Angreifer beliebige Befehle innerhalb der entsprechenden Office-Applikation ausführen kann.

Artikel veröffentlicht am ,

Die Sicherheitslücke in Word erlaubt es einem Angreifer, das Sicherheitsmodell bei der Ausführung von Makros zu umgehen, so dass die Deaktivierung der Makro-Ausführung wirkungslos bleibt. Ein Angreifer kann so beliebigen Makro-Code innerhalb aller Word-Versionen ab der 97er-Version ausführen und so eine weitreichende Kontrolle über ein fremdes System erlangen, um Dateien zu löschen oder auch eine Festplatte zu formatieren. Ein Angreifer muss ein Opfer lediglich dazu bringen, eine Word-Datei zu starten, was in Anbetracht etlicher Word-Anhänge in E-Mails wohl ein Leichtes sein dürfte.

Stellenmarkt
  1. Projektleiter (m/w/d) Digitalisierung Einkaufsportal
    STRABAG AG, Stuttgart
  2. Agiler Inhouse Java Softwerker (m/w/d)
    PROSOZ Herten GmbH, Herten
Detailsuche

Die zweite empfindliche Sicherheitslücke steckt im WordPerfect-Konverter, der von etlichen Office-Applikationen von Microsoft eingesetzt wird, um entsprechende Dokumente öffnen und bearbeiten zu können. Über eine speziell formatierte WordPerfect-Datei kann ein Angreifer beliebige Befehle innerhalb der entsprechenden Office-Applikation ausführen. Neben Word benutzen auch PowerPoint, FrontPage, Publisher und die Works Suite den betreffenden Konverter. Wie auch beim Makro-Sicherheitsleck braucht ein Angreifer ein Opfer nur dazu bringen, ein entsprechend präpariertes WordPerfect-Dokument zu öffnen, um die Sicherheitslücke ausnutzen zu können.

Microsoft stellt ab sofort Patches zur Behebung der Makro-Sicherheitslücke für die verschiedenen Word-Versionen zum Download bereit. Weitere Patches sollen die Sicherheitslücke im WordPerfect-Konverter in den verschiedenen Microsoft-Applikationen beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
CDU-Sicherheitslücke
Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
Ein IMHO von Hanno Böck

CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
Artikel
  1. Kritik der Community: Microsoft schaltet Kommentare unter Windows-11-Video ab
    Kritik der Community
    Microsoft schaltet Kommentare unter Windows-11-Video ab

    In einem Youtube-Video verteidigt Microsoft die Bedingungen von Windows 11. Die Community ist außer sich, Kommentare werden geblockt.

  2. Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
    Connect-App  
    CDU zeigt offenbar Hackerin nach Melden von Lücken an

    Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  3. Datenübertragung: Flüssigkernfaser könnte Glasfaser ersetzen
    Datenübertragung
    Flüssigkernfaser könnte Glasfaser ersetzen

    Schweizer Forscher haben eine Faser entwickelt, die Daten genauso gut überträgt wie eine Glasfaser, aber dieser gegenüber Vorteile hat.

Michael 04. Sep 2003

Das gibts! Besorge Dir TeX und LaTeX und lerne, die Makros zu bedienen. Ehrlich, Du wirst...

TAFKAR 04. Sep 2003

Wow, diese Argumentation hat mich überzeugt. Ich habe bereits alle Schritte eingeleitet...

ächz 04. Sep 2003

hier stehts bereits: https://forum.golem.de/phorum/read.php?f=47&i=6202&t=6175 forums-link

Laser VZ 200 04. Sep 2003

Zitat: "Interessant wäre, nachzuprüfen, inwieweit es dieses Sicherheitsproblem in...

bully 04. Sep 2003

Hi ich glaube Office 97 wird nicht mehr Unterstützt. So wie das neue Office 2003 nicht...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /