Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Februar gab es sage und schreibe elf Bulletins, die siebzehn Fehler behoben. Besonders betroffen war Office, das für einige der Bulletins verantwortlich zeichnete. Im März gibt es nur vier Bulletins, die sich jedoch alle auf Office beziehen. Für Administratoren kein Grund, sich zurückzulehnen, denn die Lücken haben es in sich.
MS08-014: Code-Ausführung über Excel
Fast alle Office-Versionen betrifft dieses Bulletin, das sieben Lücken in Excel aufzählt. Kritisch sind die Lücken allerdings laut Microsoft lediglich bei Office 2000. Bei den anderen Versionen sind sie lediglich als „Wichtig“ eingestuft.
Alle Fehler sind auf eine mangelnde Validierung oder falsche Berechnung des benötigten Speichers zurückzuführen und können dazu führen, dass beliebiger Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt wird. Dazu muss der Angreifer das Opfer nur dazu bringen, ein speziell präpariertes Excel-Dokument zu öffnen. Dies kann er per Email schicken oder auf einer Web-Seite hosten.
|
Datum |
12.03.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000 SP3, Office XP SP3, Office 2003 SP2, Office 2007 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2008-0111, CVE-2008-0112, CVE-2008-0114, CVE-2008-0115, CVE-2008-0116, CVE-2008-0117, CVE-2008-0081, |
MS08-015: Code-Ausführung über Outlook
Bei der Validierung von mailto-URIs (Uniform Resource Identifier) geht Outlook nicht gründlich genug vor. Beim Versuch, eine entsprechend präparierte URI zu verarbeiten, kommt es dann zur Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers.
Um die Lücke auszunutzen, muss der Angreifer das Opfer lediglich dazu bringen, einen entsprechenden mailto-Link anzuklicken.
|
Datum |
12.03.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000 SP3, Office XP SP3, Office 2003 SP3, Office 2007 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-016: Code-Ausführung über Office
Beim Parsen einer speziell präparierten Office-Datei berechnet Office den benötigten Speicher falsch, so dass Systemspeicher überschrieben wird. Die Folge ist die Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers.
|
Datum |
12.03.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000 SP3, Office XP SP3, Office 2003 SP2, Office 2004 for Mac |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-017: Code-Ausführung über Office Web Components
Über die Office Web Components lassen sich Spreadsheets, Charts und Datenbanken im Web veröffentlichen und betrachten. Ein Fehler beim Parsen von URLs und DataSources kann es zum Überschreiben von Systemspeicher und damit der Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers kommen.
Der Angreifer muss dazu lediglich eine speziell präparierte Web-Seite aufsetzen und das Opfer dazu bringen, diese Seite mit dem Internet Explorer zu besuchen.
|
Datum |
12.03.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000 SP3, Office XP SP3, Visual Studio .NET 2002 SP1, Visual Studio .NET 2003 SP1, Biztalk Server 2000, Biztalk Server 2002, Commerce Server 2000, Internet Security and Acceleration Server 2000 SP2 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |