Lücke in ActiveX-Control von Microsoft Office 2003 [Update]
Ein veröffentlicher Exploit demonstriert, wie der Internet Explorer 6 beim Öffnen eines manipulierten HTML-Dokumentes abstürzt. Ob sich über die Lücke auch Code einschleusen und mit den Rechten des Anwenders ausführen lässt, werden weitere Tests zeigen mü
- Daniel Bachfeld
Ein mit Microsoft Office 2003 mitgeliefertes ActiveX-Control (Office Data Source Control 11, OWC11.DLL) enthält einen Fehler in der Funktion DeleteRecordSourceIfUnused, mit dem sich über präparierte HTML-Dokumente ein Buffer Overflow provozieren lässt. Ein veröffentlicher Exploit demonstriert, wie der Internet Explorer 6 beim Öffnen eines solchen Dokumentes abstürzt. Ob sich über die Lücke auch Code einschleusen und mit den Rechten des Anwenders ausführen lässt, werden weitere Tests zeigen müssen. Sofern sich dies bestätigt, würde der Besuch einer manipulierten Webseite genügen, um sich mit einem Schädling zu infizieren.
Ein Patch steht nicht zur Verfügung. Abhilfe bringt es, ein so genanntes Kill-Bit in der Registry zu setzen, damit das verwundbare Control (CLSID 0002E55B-0000-0000-C000-000000000046) nicht mehr geladen wird. Da sich die in ActiveX-Controls gefundenen Sicherheitslücken derzeit epidemisch häufen, ist es allerdings sinnvoller, ActiveX im Browser zumindest für die Internet-Zone zu deaktivieren.
Update
Microsoft ist über die Lücke informiert und untersucht das Problem. Nach Angaben von Symantec lässt sich der Fehler zum Einschleusen und Starten von Code nutzen. Informationen über schon statt gefundene Angriffe gibt es nicht. Betroffen ist nicht nur der Internet Explorer 6, sondern auch Version 7.
Siehe dazu auch:
- MSODataSourceControl.DeleteRecordSourceIfUnused COM-object B0F POC, Exploit auf Milw0rm
(dab)
