157040

Excel: Sicherheitsexperten warnen vor weiterer Sicherheitslücke

21.06.2006 | 13:59 Uhr |

Erst kürzlich war eine neue Sicherheitslücke in Excel entdeckt worden. Nun sind Sicherheitsexperten auf eine weitere Lücke in Microsofts Tabellenkalkulation gestoßen. Microsoft hat umgehend auf diese Berichte reagiert und untersucht die Schwachstelle bereits. Nach Ansicht von Microsoft ist es keine Excel-, sondern eine Windows-Lücke.

Sicherheitsexperten warnen vor einer weiteren Lücke in Microsofts Excel. Diese könnten Angreifer ausnutzen, um beliebigen Code auf einem Rechner auszuführen. Secunia stuft die Lücke als "hoch kritisch" ein. Betroffen seien Excel 2000, 2002, 2002, Excel Viewer 2003 und alle Office-Pakete ab Office 2000, die Excel enthalten.

Schuld soll ein Fehler in hlink.dll sein, die in Excel-Dokumenten befindliche Links verarbeitet. Angreifer könnten Anwender dazu verleiten, auf einen speziell präparierten Link in einem Excel-Dokument zu klicken, was dann einen Puffer-Überlauf auslöst und das Ausführen beliebigen Codes ermöglicht.

Microsoft Sicherheitsteam MSRC (Microsoft Security Response Center) untersucht bereits die Berichte über die Lücke. Im Blog des MSRC ist Microsoft der Ansicht, dass es sich um keine Lücke in Excel handle, sondern eher um eine Lücke in Windows, weil hlink.dll eine Windows-Komponente sei.

Microsoft betont, dass es bisher nur einen Proof-of-Concept-Code gäbe und keinerlei Berichte vorlägen, dass die Lücke bereits aktiv ausgenutzt werde. Allerdings - und das schreibt Microsoft nicht - lässt sich die Lücke so simpel ausnutzen, dass damit zu rechnen ist, dass bald Attacken folgen.

Laut Angaben von Microsoft hat die erste Untersuchung bereits gezeigt, dass die Lücke von Angreifern nur ausgenutzt werden kann, wenn der angegriffene Anwender mitspielt. Zunächst müsste der Anwender die betreffende Datei öffnen und dann auch noch davon überzeugt werden, auf einen Link im Dokument zu klicken. Das MSRC habe bisher keine andere Methode gefunden, durch die die Lücke zuschlagen könnte. Derzeit werde aber die Angelegenheit weiter untersucht und man werde die entsprechenden Maßnahmen treffen, sobald die Untersuchung abgeschlossen ist.

Derweil gilt wie immer der Rat: Sie sollten keine (Excel-)Datei öffnen, die Sie per Mail erhalten, deren Absender Sie nicht kennen. Außerdem sollten Sie aufpassen und nur von vertrauenswürdigen Websites im Internet Dateien herunterladen. Überall sonst lauert nur Ärger.

Excel-Sicherheitslücke: Microsoft veröffentlicht Workarounds (PC-WELT Online, 21.06.2006)

Neue Sicherheitslücke in Excel (PC-WELT Online, 16.06.2006)

0 Kommentare zu diesem Artikel
157040