Microsoft schließt sieben Lücken in Excel

Microsoft hat zwei Sicherheits-Updates veröffentlicht: MS10-016 schließt eine Lücke im Windows Movie Maker, MS10-017 schließt sieben Lücken in Excel.

Von der Lücke im Movie Maker sind Windows Movie Maker 2.1, Windows Movie Maker 2.6, Windows Movie Maker 6.0 und Microsoft Producer 2003 betroffen. Durch präparierte Projekt-Dateien lässt sich Schadcode in einen Rechner schleusen und starten. Standardmäßig ist die Software nur in Windows XP und Vista enthalten, sie kann auf anderen Windows-Versionen aber nachträglich über Downloads von Microsoft-Seiten auf den Rechner gelangt sein. Windows Live Movie Maker ist nicht verwundbar.

Von den Excel-Lücken sind Office XP, Office 2003, Office System 2007, Office 2004 und 2008 für Mac, der Excel-Viewer sowie der Share Point Server 2007 betroffen. Ein präpariertes Dokument kann Heap Overflows und verschiedene Speicherfehler verursachen, durch die Angreifer einen PC kompromittieren können.

Die Redmonder stufen beide Updates als wichtig ein und erwarten in den nächsten Wochen Exploits in freier Wildbahn, die die Lücken ausnutzen. Anwender sollten die Updates deshalb so bald wie möglich installieren.

Für die Anfang vergangener Woche gemeldete Lücke im Internet Explorer unter Windows 2000, XP und Server 2003 in Zusammenhang mit Hilfedateien und VBScript gibt es noch keinen Patch. Microsoft beobachtet "die Lage" weiterhin und empfiehlt als Schutz, die F1-Taste beim Browsen nicht zu drücken. Bislang habe man noch keine Angriffe registriert. Windows 7, Vista und Server 2008 sind von dem Problem nicht betroffen.

Siehe dazu auch:

• Microsoft Security Bulletin Summary für März 2010
• Zero-Day-Exploit für den Internet Explorer
  

(dab)