Kritische Sicherheitslücke in Excel wird aktiv ausgenutzt
Microsoft warnt vor einer Sicherheitslücke in Excel, die aktiv im Netz ausgenutzt wird, um Opfern fremden Code unterzuschieben.
Microsoft warnt in einer Sicherheitsmeldung vor einer Sicherheitslücke in der Tabellenkalkulation Excel, durch die Angreifer Schadcode einschleusen und ausführen können. Laut Sicherheitsmeldung des Unternehmens wird die Lücke bereits ausgenutzt.
Der Fehler betrifft Microsoft Office Excel 2003 Service Pack 2, den Excel Viewer 2003, Excel 2002, Excel 2000 und Microsoft Excel 2004 für den Mac. Details zur Schwachstelle veröffentlichen die Redmonder noch nicht. Allerdings sollen Nutzer von Excel 2007, Excel 2008 für den Mac und von Excel 2003 mit Service Pack 3 nicht verwundbar sein.
Anwender der älteren Excel-Versionen sollen sich durch den Einsatz der Microsoft Office Isolated Conversion Environment (MOICE) schützen können. Dazu müssen Office-Nutzer alle verfügbaren Updates einspielen und anschließend das Kompatibilitätspack für die Dateiformate von Office 2007 installieren.
MOICE ist als Update auf der Windows-Update-Seite verfügbar. Nach der Installation müssen die Verknüpfungen für die Excel-Dateien für die Nutzung von MOICE angepasst werden: An der Eingabeaufforderung erledigen das die Befehle ASSOC .XLS=oice.excel.sheet, ASSOC .XLT=oice.excel.template und ASSOC .XLA=oice.excel.addin. Dadurch wandelt MOICE die Excel-Dateien beim Öffnen in das Dateiformat von Office 2007 um und soll dabei den schädlichen Code ausfiltern. Nutzer älterer Office-Versionen können die umgewandelten Dateien mit installiertem Kompatibilitätspack öffnen, benötigen jedoch eine Installation von Office 2003 oder 2007 für die Umwandlung.
Laut Microsofts Sicherheitsmeldung finden derzeit gezielte Angriffe mit präparierten Office-Dokumenten statt. Bereits im vergangenen Jahr waren solche gezielten Angriffe insbesondere auf das Management und die Führungskräfte von Unternehmen zu beobachten. Microsofts Entwickler untersuchen die Schwachstelle zurzeit noch. Derzeit ist daher noch unbekannt, wann die Redmonder ein Update veröffentlichen werden, das die Sicherheitslücke schließt.
Siehe dazu auch:
- MSRC Blog: Security Advisory 947563, Warnung in Microsofts Sicherheits-Blog
- Vulnerability in Microsoft Excel Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
- Beschreibung des Microsoft Office Isolated Conversion Environment-Updates für das Compatibility Pack für Word-, Excel- und PowerPoint 2007-Dateiformate von Microsoft
- Microsoft Office Compatibility Pack für Dateiformate von Word, Excel und PowerPoint 2007, Download der Software
- Gezielte Trojaner-Angriffe auf PCs von Führungskräften, Meldung von heise Security
(dmk)
