11678

Neue Excel-Lücke bestätigt

05.02.2007 | 16:05 Uhr |

Eine neu entdeckte Sicherheitslücke in Microsoft Office wird bisher nur bei Excel aktiv ausgenutzt. Sie kann jedoch vermutlich auch andere Office-Anwendungen betreffen, wie Microsoft in einer Sicherheitsempfehlung warnt.

Nach einer Reihe von bislang weiterhin ungestopften Schwachstellen in Word ist nun offenbar wieder Excel an der Reihe. Der Antivirus-Hersteller McAfee berichtet über eine neue Sicherheitslücke in Microsoft Office, die über eine speziell präparierte Excel-Datei ausgenutzt werden kann. McAfee hat diese Datei nach eigenen Angaben "from the field" erhalten, also mutmasslich etwa von einem seiner Kunden.

Wird diese Datei mit einer anfälligen Excel-Version geöffnet, entpackt sie so genannten Shell-Code. Der ruft über eine fest einprogrammierte Adresse die Systembibliothek "kernel32.dll" auf. Die verwendete Adresse funktioniert nur unter Windows XP SP2, bei anderen Windows-Versionen kommt es zum Absturz. Anfällig sind die Excel-Versionen 2000, XP und 2003, auch wenn alle Sicherheits-Updates installiert sind.

Im Erfolgsfall wird eine Datei "top10.exe" im TEMP-Verzeichnis erstellt und gestartet. Bei dieser Programmdatei handelt es sich laut McAfee um eine neue Variante des Trojanischen Pferds " BackDoor-CWA ". Die präparierte Excel-Datei wird von McAfee als " Exploit-MSExcel.h " erkannt.

Microsoft hat die neue Schwachstelle inzwischen bestätigt und dazu die Sicherheitsempfehlung 932553 veröffentlicht. Demnach sind Microsoft Office 2000, XP und 2003 sowie Office 2004 für Mac anfällig. Man habe bislang lediglich Kenntnis von begrenzten, gezielten Angriffen mittels präparierter Excel-Dateien, andere Office-Anwendungen könnten jedoch ebenfalls betroffen sein.

Microsoft empfiehlt als einzige Schutzmaßnahme Office-Dokumente nicht vertrauenwürdiger Herkunft sowie solche, die unerwartet von bekannten Absendern kommen, nicht zu öffnen. Im Weblog der McAfee-Virenforscher bestätigt Craig Schmugar ironisch, McAfee habe diese Empfehlung überprüft und könne ihre Wirksamkeit bestätigen.

0 Kommentare zu diesem Artikel
11678