General-Patch für Lücken in Word und Excel

Microsoft hat einen General-Patch für Excel und Word veröffentlicht. Dieser schließt vier neu entdeckte Lücken und bringt alle bislang veröffentlichten Patches für die Produkte mit.

Betroffen sind Word und Excel in den Office-Versionen 2000 und XP. Wie üblich will Microsoft, dass vor der Anwendung der Patches die aktuellen Service Packs für die betroffenen Produkte aufgespielt werden.

Drei der neu entdeckten Sicherheitsprobleme betreffen Excel. Zwei davon hängen mit der fehlerhaften Abarbeitung von Makros zusammen. Es ist dadurch jeweils möglich, Code auszuführen. Außerdem hat Microsoft mit dem Patch in Excel einen Fehler beim Ausführen von HTML-Scripts beseitigt. Bei einer Excel-Tabelle, die HTML enthält, kann der Fehler dazu führen, dass das Script mit allen Benutzerrechten ausgeführt wird.

Die Lücke, die in Word auftritt, ist eine Variante einer bereits früher entdeckten. Sie funktioniert im Zusammenspiel mit der Datenbankanwendung Access. Wird etwa ein HTML-Formular mit Code in Word gespeichert und mit Access geöffnet, versagen die Sicherheitseinstellungen. Ein Angreifer könnte so Code seiner Wahl ausführen.

Neben den aktuellen Lücken enthält der Sammel-Patch nach Angaben von Microsoft alle bislang für die Anwendungen Word und Excel (Office 2000 und XP) veröffentlichten Patches. Das zugehörige Security Bulletin MS02-031 und Links zu den Patches finden Sie hier. Informationen zu weiteren Sicherheitslücken in Microsoft-Anwendungen bietet die tecHistory. (uba)

ss