Mögliche dritte Lücke in Excel entdeckt
Eingebettete Shockwave-Dateien in Excel-Dateien starten beim Öffnen eines Dokumentes automatisch und sollen über verwundbare ActiceX-Control Zugriff auf das System erhalten.
- Daniel Bachfeld
Für Excel kommt es nun ganz dicke: Der Sicherheitsspezialist Debasis Mohanty will eine dritte Lücke in Excel ausgemacht haben, die sich ausnutzen lassen soll, um den Windows-PC etwa mit Schädlingen zu infizieren. Dazu genügt es laut Mohanty, eine Shockwave-Datei in ein Excel-Dokument einzubetten – beim Öffnen des Dokumentes startet die Flash-Animation automatisch und führt in der Shockwave-Datei eingebetteten JavaScript-Code aus. Dieser Code kann etwa ein ActiveX-Control laden, um Zugriff auf die Systemressourcen zu erhalten. Allerdings muss dazu auch schon das Control verwundbar und für andere Anwendungen als "sicher für Skripting"-gekennzeichnet sein, damit diese es steuern können. Ein Angreifer muss also gleich zwei Lücken ausnutzen.
Mohanty stellt zu Demonstrationszwecken ein präpariertes Excel-Sheet zum Download bereit. Bei einem kurzen Test der heise-Security-Redaktion auf vier Windows-XP-SP2-PCs mit allen Patches und Office 2003 öffnete und schloss sich nur kurz ein Browser-Fenster. Ein Rechner zeigte immerhin eine Fehlermeldung, dass offenbar das Ausführen des Scripts fehlgeschlagen war. Bei einem Rechner mit XP-SP2 und Office 2003 aber ohne weitere Patches passierte ebenfalls nichts.
Ob nur der Proof-of-Concept-Code fehlerhaft ist oder die Lücke sich nicht ausnutzen ließ, ist noch nicht klar und wird weiter getestet. Gegenüber US-Medien weist Microsoft aber darauf hin, dass derzeit in diesem Zusammenhang ohnehin keine Controls bekannt seien, die sich ausnutzen ließen. Unter anderem verhindert Microsoft über so genannte Kill Bits das Laden von Controls in den Internet Explorer. Die Redmonder setzen seit Ende vergangenen Jahres mit den veröffentlichten kumulativen Patches für ihren Browser zahlreiche Kill Bits, um als verwundbar eingestufte Objekte zu blockieren. Ob das neue Problem einen Patch erfordert, bleibt offen. Ob für die zwei anderen, noch ungepatchten Lücken in Excel, rechtzeitig zum kommenden Patch-Day im Juli ein Update erscheint, ist ebenfalls noch unklar.
Siehe dazu auch: (dab)
- Microsoft Excel 'Shockwave Flash Object' Lets Remote Users Execute Code Automatically, Fehlerbericht von Debasis Mohanty
