Endlich: Microsoft schließt Office-Sicherheitslücken

Der eine Patch für Office 2000, Office XP sowie Office 2003 und Office 2004 für Mac beseitigt je eine Sicherheitslücke in Excel und PowerPoint. Der zweite Office-Patch schließt gleich sechs Sicherheitslücken in Word, wobei damit endlich alle seit Anfang Dezember 2006 bekannt gewordenen Word-Sicherheitslecks geschlossen werden, für die bereits Schadcode im Internet gesichtet wurde. Lediglich Office 2007 ist von den genannten Sicherheitslecks nicht betroffen. Mit Hilfe präparierter Office-Dokumente lassen sich diese Sicherheitslücken ausnutzen, um so beliebigen Programmcode auszuführen und sich eine umfassende Kontrolle über ein fremdes System zu verschaffen.

Ein weiteres Sicherheitsleck in Office 2000, XP und 2003 betrifft auch Windows in den Versionen 2000, XP sowie Windows Server 2003 und erlaubt die Ausführung beliebigen Programmcodes. Mit einem Patch soll der Fehler in der RichEdit-Komponente ausgebügelt werden, damit Angreifer darüber keinen Programmcode mehr ausführen können, indem sie Opfern eine entsprechend manipulierte RTF-Datei unterschieben.

Mit einem Sammel-Patch für den Internet Explorer korrigiert Microsoft gleich drei Sicherheitslücken, die auch den Internet Explorer 7 betreffen. Zwei dieser drei Sicherheitslecks können zur Ausführung von Programmcode missbraucht werden, während das dritte Leck eine Ausweitung der Rechte ermöglicht. Eines der beiden schwerwiegenden Sicherheitslücken im Internet Explorer ist Microsoft bereits seit August 2006 bekannt und es hat fast ein halbes Jahr gedauert, bis der Fehler korrigiert wurde. Mit einer Sicherheitslücke in "Microsoft Data Access Components" in den Versionen 2.5 sowie 2.8 lässt sich gleichsam beliebiger Code ausführen. Für den seit Oktober 2006 bekannten Fehler im ADODB.Connection-ActiveX-Steuerelement wurde endlich ein Patch veröffentlicht.