Microsoft warnt vor Lücke in Office-Webkomponente
Nach Angaben des Herstellers gibt es auch bereite erste Versuche auf präparierten Webseiten, die Lücke auszunutzen. Für einen erfolgreichen Angriff genügt der Aufruf der Seite mit dem Internet Explorer.
- Daniel Bachfeld
Microsoft warnt vor einer kritischen Sicherheitslücke in einer Office-Webkomponente, durch die Angreifer die Kontrolle über den Windows-PC erlangen können. Nach Angaben des Herstellers gibt es auch schon erste Versuche auf präparierten Webseiten, die Lücke mit manipulierten Tabellen auszunutzen. Für einen erfolgreichen Angriff genügt der Aufruf der Seite mit dem Internet Explorer – unter Umständen gelangt man ungewollt durch eine Weiterleitung auf solch eine Seite.
Das verwundbare Control ist eine Sammlung von Objekten, um Tabellen, Präsentation und Datenbanken im Web zu veröffentlichen und zu betrachten. Betroffen sind Office 2003, Office XP, der Internet Security and Acceleration Server 2004 und 2006 sowie Office Small Business Accounting 2006. Ein Update gibt es nicht, die Redmonder arbeiten aber mit Hochdruck daran. Bis zur Veröffentlichung stellt Microsoft ein Fix-it-Tool zum Download zur Verfügung, mit dem sich das Control im Internet Explorer deaktivieren lässt. Dass Microsoft bereits bis zum morgigen Patchday ein Update fertig stellt, ist unwahrscheinlich.
Siehe dazu auch:
- Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution
- Microsoft Security Advisory 973472 Released, Blogeintrag des MS Security Response Center
- Microsoft plant DirectShow-Patch für kommenden Dienstag
(dab)