Weiteres gefährliches Sicherheitsrisiko durch Excel-Dateien

Excel erlaubt Ausführung von Programmcode. Mit Hilfe eines präparierten Excel-Dokuments kann ein weiteres Sicherheitsrisiko in Microsofts Tabellenkalkulation für Angriffe missbraucht werden. Ein Opfer muss lediglich dazu gebracht werden, ein entsprechend modifiziertes Excel-Dokument zu öffnen, damit ein Angreifer beliebigen Programmcode ausführen kann.

22. Juni 2006 um 11:46 Uhr / Ingo Pakalski

35 Kommentare undefined News folgen (öffnet im neuen Fenster)

In Excel-Dokumente lassen sich Flash-Dateien mit JavaScript-Befehlen als "Shockwave Flash Object" einbinden. Dieser Mechanismus kennt keine vorherige Abfrage, so dass schadhafter Code ohne Rückfrage ausgeführt wird, sobald eine entsprechende Excel-Datei geöffnet wird.

Das Sicherheitsrisiko hat Debasis Mohanty alias Tr0y entdeckt(öffnet im neuen Fenster) . Microsoft wurde bereits Anfang Mai 2006 darüber informiert. Seitdem hat der Softwarekonzern allerdings nicht reagiert, so dass kein Patch zur Abhilfe bereitsteht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Teamleitung Communication Standard Services – CSS (m/w/d) Helmholtz-Zentrum für Umweltforschung GmbH – UFZ, Leipzig (öffnet im neuen Fenster)

Senior Softwareentwickler (m/w/d) Delphi DMG MORI Ultrasonic Lasertec GmbH, Pfronten (öffnet im neuen Fenster)

Scrum Master / Agile Master (w/m/d) freenet DLS GmbH, Büdelsdorf (öffnet im neuen Fenster)

Praxisorientierte Weiterbildung GIS- und Geodatenexperte (m/w/d) GIS-Akademie GmbH, Dortmund (öffnet im neuen Fenster)

Ausbildung Fachinformatiker Systemintegration (all genders) - Start 01.09.2026 Fraunhofer-Institut für Nachrichtentechnik, Heinrich-Hertz-Institut HHI, Berlin (öffnet im neuen Fenster)

Anforderungs- und Projektmanager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Forchheim (öffnet im neuen Fenster)

DMS-Consultant (m/w/d) - Kundenberatung und Projektarbeit ITK Rheinland, Neuss (öffnet im neuen Fenster)

Product Owner (m/w/d) camos CPQ Scheidt & Bachmann Parking Solutions GmbH, Mönchengladbach bei Düsseldorf (öffnet im neuen Fenster)

Innerhalb weniger Tage sorgen damit nun drei Sicherheitsrisiken im Zusammenspiel mit Excel für Aufsehen. Für das in der vorigen Woche bekannt gewordene Excel-Sicherheitsloch steht nach wie vor kein Patch bereit, auch wenn ein solcher mittlerweile geplant ist. Zudem wurde ein Windows-Sicherheitsloch aufgedeckt , das im Zusammenspiel mit Excel-Dokumenten zuschlägt. Beide Sicherheitslecks erlauben die Ausführung von Programmcode und für beide Lücken gibt es Beispielcode im Internet. Gleichwohl ist keine Schadroutine bekannt, die sich derzeit verbreitet, um eines der Sicherheitslücken auszunutzen.

Zur Startseite 35 Kommentare

Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Angebliches zweites Excel-Sicherheitsloch betrifft Windows

Beispielcode deckt Sicherheitslücke in hlink.dll auf. Verschiedene US-Medien berichten über ein angebliches zweites in Excel steckendes Sicherheitsloch, das bereits durch Beispielcode missbraucht wird. Dieses Sicherheitsleck steckt allerdings nicht in Excel, sondern in einer Windows-Komponente, betont Microsoft nun. Bereits vor wenigen Tagen wies Redmond auf ein Sicherheitsloch in Excel hin, das ebenfalls durch Schadcode ausgenutzt wird. In beiden Fällen habe sich der Beispielcode bislang nicht verbreitet.

Großes Sicherheitsrisiko durch Excel-Dateien (Update)

Analyse bei Microsoft läuft noch. Microsoft berichtet über entdeckten Schadcode für Excel, der ein Sicherheitsloch in der Tabellenkalkulation ausnutzt. Bislang habe Microsoft nur von einem Vorfall erfahren und derzeit laufen die Untersuchungen daran. Daher ist bislang auch unklar, welche Auswirkungen der Schadcode hat und ob er Dateien zerstört.

Sicherheits-Patches für Windows Media Player und Office

Gefährliche Sicherheitslücken in Word, PowerPoint und im Windows Media Player. Für die beiden Office-Komponenten Word und PowerPoint, für den Windows Media Player sowie für den Exchange Server hat Microsoft Sicherheits-Updates am diesmonatigen Patch-Day veröffentlicht. Die beiden Sicherheitslecks in den Office-Applikationen und der Fehler im Windows Media Player werden als kritisch bewertet, weil Angreifer beliebigen Programmcode ausführen können. Das Sicherheitsloch in Exchange betrachtet Microsoft als weniger gefährlich.

Relevante Themen