Abo
  • IT-Karriere:

Ein "Haikäfig" für Microsoft Office 2010

Notlösung gegen Angriffe auf Dateiformate

Künftige Microsoft-Office-Versionen werden in einer Sandbox arbeiten. Damit will der Hersteller die Programme besser gegen Angriffe auf Schwachstellen in den Office-Dateiformaten schützen.

Artikel veröffentlicht am ,

Microsofts Office-Suite ist berüchtigt für ihre Sicherheitslücken. In den vergangenen drei Jahren hat das US-CERT an die 30 kritische Sicherheitslücken gemeldet, von denen auch Office betroffen war. Zuletzt am 14. Juli 2009 hieß es: "Microsoft hat Aktualisierungen für den Office-Publisher veröffentlicht, um kritische Sicherheitslücken zu beheben."

Stellenmarkt
  1. Dataport, Altenholz bei Kiel (Home-Office möglich)
  2. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg

Damit soll in Zukunft Schluss sein. Wie die Computerworld unter Berufung auf den Gartner-Analysten John Pescatore mitteilt, soll die Office-Suite einen virtuellen Haikäfig bekommen. Durch das Ausführen der Office-Programme in einer Sandbox will Microsoft verhindern, dass sich Angreifer über Sicherheitslücken Zugriff auf das System verschaffen.

Zu den größten Schwachstellen der Office-Suite gehören ihre komplexen Dateiformate. Durch Manipulationen an Word-, Excel- oder Powerpoint-Dateien gelingt es Angreifern immer wieder, beim Öffnen der Dateien durch Office-Programme ins System einzubrechen. Die Schwachstellen finden die Angreifer mit Hilfe von Programmen, die per Zufallsgenerator Dateien generieren, sogenannte Fuzzing-Tools. Die Dateien werden mit Office-Programmen geöffnet. Von Fall zu Fall verhält sich dann ein Office-Programm verkehrt und öffnet die Tore zum System.

Microsofts Plan, Office nur noch in einer Sandbox ablaufen zu lassen, soll diesem Vorgehen einen Riegel vorschieben. Dazu John Pescatore: "Was passiert, ist, dass die bösen Jungs Fuzzing-Werkzeuge benutzen, um Schwachstellen in Office zu finden. Jetzt sagt Microsoft, 'Okay, wir können unmöglich alle Lücken finden, geschweige denn schließen. Also stecken wir die Lücken in eine Sandbox.'"

Neben der Sandbox wird es weitere Verfahren zur Absicherung von Office-Programmen geben, etwa einen "Protected View", der Word-, Excel- und Powerpoint-Dateien ohne Schreibzugriff öffnet. Die neuen Technologien sollen erstmals bei Office 2010 zum Einsatz kommen, wie einem Eintrag von Brad Albrecht in einem offiziellen Microsoft-Blog zu entnehmen ist. [von Robert A. Gehring]



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 0,49€
  3. 4,99€
  4. 2,49€

Nobrainer 28. Jul 2009

Also, wenn man mit einer gefaelschten Datei einen BufferOverrun erzeugen kann, der dann...

spender 28. Jul 2009

dann sag mir, warum du linux verwendest? :) frickler *sind* hobbybastler!

TourDeForce 28. Jul 2009

Und wo steht da jetzt bitte etwas von Mac-MS-Office-only, sprich Entourage? Lesen...

IT-Consultant 27. Jul 2009

wird dann auch endlich in einer Sandbox ablaufen. Damit wäre dann auch den Spielkindern...

Niemand2 27. Jul 2009

Bitte Beitrag schreiben.


Folgen Sie uns
       


Speedport Pro - Test

Der Speedport Pro ist gerade im WLAN verglichen mit dem älteren Speedport Hybrid eine Verbesserung. Allerdings zeigt sich in unserem Test auch, dass die maximale Datenrate nicht steigt. Eher das Gegenteil ist der Fall.

Speedport Pro - Test Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

    •  /