Microsoft schließt zwölf Lücken in Office-Programmen

Mit vier Sicherheitsupdates wollen die Redmonder zwölf Sicherheitslücken schließen, sieben davon allein in der Tabellenkalkulation Excel, zwei in Office, zwei in Office Web und eine in Outlook. Alle zwölf Lücken stuft Microsoft als kritisch ein, da Angreifer dadurch Code in einen Windows-Client einschleusen und ihn so unter ihre Kontrolle bringen können. Allerdings gibt es einige Unterschiede in der erforderlichen Interaktion des Anwenders.

Bei Excel (MS08-014) muss der Anwender ein präpariertes Dokument öffnen, was aber aus einer Mail heraus standardmäßig gar nicht gelingen sollte. Microsoft klassifiziert Excel-Dateien als unsicher, weshalb etwa der direkte Zugriff in Outlook und Outlook Express blockiert ist. Die Probleme betreffen Office Excel 2000 (Service Pack 3), Excel 2002 (SP3), Excel 2003 (SP2), Excel Viewer 2003, Excel 2007, das Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 File Formats sowie Office 2004 für Mac und Office 2008 für Mac.

Auch bei den zwei Schwachstellen in Office (MS08-016) ist das Öffnen eines infizierten Dokuments notwendig. Anfällig sind Office 2000 Office XP, Office 2003 Service Pack 2, Excel Viewer 2003 and Excel Viewer 2003 (SP3) und Office 2004 for Mac. Zwar gibt es gewisse Überschneidungen der Updates für die Fehler in Excel und Office, trotzdem müssen beide Patches installiert werden.

Bei der Lücke in Outlook (MS08-015) kann der Anwender schon durch einen Klick in einer präparierten Webseite zum Opfer eines Angriffs werden. Ursache des Problems ist die unzureichende Filterung von mailto-URIs bei der Übergabe vom Internet Explorer an den Mailclient. Der Fehler findet sich in Office Outlook 2000 (SP3), Outlook 2002 (SP3), Outlook 2003 (SP2, SP3) sowie Outlook 2007. Outlook 2007 mit Service Pack 1 ist nicht verwundbar.

Bei den zwei Problemen in Office Web (MS08-017) ist fast gar keine Nutzeraktion mehr notwendig. Der Besuch einer manipulierten Webseite soll genügen, um den PC mit Schädlingen zu infizieren. Mit derartigen Seiten kommt man heutzutage schneller in Berührung als einem lieb ist, etwa durch ungewollte Redirects in Google-Suchergebnissen oder durch zusätzliche IFrames in normal aussehenden aber gehackten Webseiten.

Detaillierte Angaben macht Microsoft zu den Lücken wie üblich nicht. Im Blog "Security Vulnerability Research & Defense" gehen die Redmonder aber in einigen Fällen nachträglich näher auf Fehler ein und wie sie sich ausnutzen oder beheben lassen. Alle Updates werden über das automatische Update verteilt. Zusätzlich verteilt Microsoft wieder eine aktualisierte Fassung des "Malicious Software Removal Tool" (MSRT).

Siehe dazu auch:

• Microsoft Security Bulletin Summary für März 2008, Übersicht von Microsoft

(dab)