Microsoft bringt Patches für IE und Office 2000

Microsoft hat Patches für Sicherheitslücken in Internet Explorer ab Version 4.01 und Office 2000 veröffentlicht. Behoben werden damit ähnliche Fehler in den Programmen. Beide Lücken erlauben es, dass eine Webseite unter Umständen Scripts auf dem Rechner ausführen kann.

Der Internet Explorer (ab Version 4.01 SP2) erlaubt es durch einen Script-Fehler - wie berichtet- einer Website in Verbindung mit der Datenbank Microsoft Access auf dem Rechner eines ahnungslosen Besuchers Code auszuführen. Access-Dateien sind vom Explorer zwar grundsätzlich als unsicher eingestuft, die Sicherheitseinstellung lässt sich aber mit dem Object-Tag umgehen. Dem kurz nach Entdeckung des Fehlers veröffentlichten Work-around folgt jetzt der Patch, den zu installieren Microsoft empfiehlt.

Die "Office HTML-Script" bezeichnete Lücke betrifft die Programme PowerPoint 2000, Excel 2000 und PowerPoint 97. Beim Besuch einer Webseite könnte mittels Script eine dort gehostete Datei der genannten Programme durch die VBA-Funktion "saveas" auf dem Rechner des Besuchers gespeichert werden. Je nach Speicherort (zum Beispiel im Autostart-Ordner) wird die Datei und darin enthaltener Code später ausgeführt.

Beide Patches nebst Erläuterungen finden sich hier. Der Patch für den Internet Explorer flickt nebenbei noch weitere Löcher, die Microsoft hier auflistet. Unter anderem soll es dann nicht mehr möglich sein, über einen Fehler in einem ActiveX-Control Dateien auszuspähen.

Wie die Lücke, die Bug-Jäger Georgi Guninski entdeckt hat, ausgenutzt werden kann, haben wir in einer früheren Meldung nachvollzogen. (uba)