ActiveX-Modul von Microsoft Works reißt Sicherheitslücke auf
Ein Sicherheitsleck in einem von Microsofts Works installierten ActiveX-Modul können Angreifer missbrauchen, um Opfern mit manipulierten Webseiten schädlichen Programmcode unterzuschieben.
Auf der Mailingliste Bugtraq ist eine Demonstration für eine Sicherheitslücke in dem ActiveX-Modul Microsoft Works Image Server (WkImgSrv.dll) aus Microsofts Büropaket Works aufgetaucht. Sie lässt den Rechner offenbar lediglich abstürzen. McAfee hat hingegen schon voll funktionsfähige Exploits gesichtet, mit denen Angreifer mit manipulierten Webseiten verwundbaren Systemen Schadcode unterschieben können.
Das ActiveX-Modul ist zwar nicht als Safe for Scripting markiert, wodurch der Internet Explorer vor die Ausführung eine Warnung setzt. Erlaubt der Besucher einer derart präparierten Webseite die Ausführung dennoch, kann etwa ein Trojaner auf den Rechner geschleust und gestartet werden. Etwa mittels Social Engineering könnten kriminelle Individuen Anwender zur Ausführung des ActiveX-Moduls verleiten.
Ein Update gibt es bislang nicht. Abhilfe schafft das Setzen des Killbits für die ClassID 00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6, wodurch die verwundbare WkImgSrv.dll in Version 7.03.0616.0 und möglicherweise auch anderen Fassungen nicht mehr im Internet Explorer eingebunden werden. Ein Artikel in Microsofts Knowledgebase gibt dabei Hilfestellung.
Siehe dazu auch:
- Microsoft Works 7 WkImgSrv.dll crash POC, Schwachstellen-Demonstration auf der Bugtraq-Mailingliste
- Potential Microsoft Works ActiveX 0-Day Surfaces, Eintrag in McAfees Sicherheits-Blog
(dmk)
