Guninski findet Lücken in Office XP

Der Bulgare Guninski ist darauf spezialisiert, Microsoft-Produkte auf Lücken und Fehler abzuklopfen. Bei Office XP hat er herausgefunden, dass Outlook unter Umständen missbraucht werden kann, um über eine präparierte Mail mit aktivem Inhalt den Benutzer auf bestimmte Webseiten zu leiten. Dafür genüge es, die Mail zu beantworten oder weiterzuleiten. Guninski bietet ein Beispielskript zum Testen dieses Fehlverhaltens an.

Microsoft hat die Lücke bestätigt. Das Software-Unternehmen rät dem Benutzer, HTML-E-Mail in Outlook abzuschalten. Außerdem sollte Word nicht als Mail-Editor eingetragen sein. Guninskis "Lösung" ist radikaler, die Benutzer sollen sich richtige Mail-Clients und Office-Anwendungen besorgen. Der Workaround des Bulgaren lautet, im Internet Explorer alles zu deaktivieren, was den Zusatz "active" trägt.

Der zweite bedenkliche Fehler steckt in der Tabellen-Komponente von Office XP. Guninski vergleicht die "Office Spreadsheet Component" mit einem Mini-Excel. Die Komponente kann etwa dazu benutzt werden, um einfache Tabellen in Webseiten einzubinden, aber auch in Office-Dokumente. Laut Guninski lässt sich der Fehler in der Host()-Funktion der Spreadsheet Component nutzen, um ausführbare Dateien zu erzeugen und im Autostart-Verzeichnis des Rechners zu platzieren. Letztlich könne der Rechner so von einem Angreifer übernommen werden. Microsoft widerspricht, die Datei könne vielleicht erzeugt, jedoch nicht ausgeführt werden. Einen Workaround bieten weder Guninski noch Microsoft an.

Microsoft hat empfindlich auf die Veröffentlichung Guninskis reagiert. Man habe keine faire Chance zur Erforschung der Lücken bekommen. Verantwortungsbewusste Sicherheitsexperten seien bereit, mit Herstellern zusammenzuarbeiten. So könne man Gegenmittel vor der Veröffentlichung fertigstellen, zum Wohl der Benutzer. Guninski erwidert auf seinen Webseiten, dass er Microsoft vor zwei Wochen informiert habe. (uba)