139562

Sicherheitslücke in Excel

12.07.2000 | 12:12 Uhr |

Eine Sicherheitslücke in Excel 2000 und vermutlich anderen Versionen könnte es Hackern ermöglichen, Zugriff auf fremde PCs zu erlangen. Kernstück des Problems ist die Funktion Register.id, die es einer Excel-Dateien erlaubt, DLL-Codes auszuführen. Diese können fast jede beliebige Wirkung haben.

Eine Sicherheitslücke in Excel2000 und vermutlich anderen Versionen könnte es Hackern ermöglichen, Zugriff auf fremde PCs zu erlangen. Kernstück des Problems ist die Funktion Register.id, die es einer Excel-Dateien beim Öffnen erlaubt, DLL-Codes auszuführen.

Excel-Dateien können per Mail verschickt oder auf einer Internetseite angezeigt werden. In den meisten Fällen, vor allem bei HTML-fähigen Mailprogrammen wie Outlook, erhält der Benutzer keine Warnung, bevor die Excel-Datei geöffnet und angezeigt wird. Zu diesem Zeitpunkt könnte eine bösartige Register.id einen DLL-Code aufrufen. Dieser Code kann sich entweder auf der Festplatte des Benutzers befinden, auf einem angeschlossenen Netzlaufwerk oder theoretisch sogar auf einer Internet-Verbindung. Es wird also ein fremdes Programm auf dem heimischen Rechner gestartet, ohne dass der Benutzer etwas dagegen tun könnte. Und die Auswirkungen können bis zur Übernahme des Rechners durch einen Hacker reichen.

Da Firewalls in der Regel nur vor Angriffen von außen schützen, können sie gegen den Excel-Zugriff auf fremde DLL-Codes nicht viel ausrichten. Bislang sind auch noch keine anderen Gegenmaßnahmen gegen diese Sicherheitslücke bekannt.

Die Excel-Verwundbarkeit wurde vom bulgarischen Sicherheitsexperten Georgi Guninski entdeckt, der sich in der Vergangenheit durch eine Vielzahl von veröffentlichten Sicherheitslücken einen Namen gemacht hat. (PC-WELT, 12.07.2000, meh)

Englischsprachige Beschreibung der Sicherheitslücke bei Securityfocus

Demonstration der Sicherheitslücke bei Georgi Guninski

Office-2000-Bug: Virenschutz außer Kraft (PC-WELT-Online, 15.5.2000)

Patch für Excel-Bug (PC-WELT Online, 4.4.2000)

Excel 97/2000: Individuelle Standardeinstellungen speichern (PC-WELT Online, 5.7.2000)

0 Kommentare zu diesem Artikel
139562