26 Fehler in Windows, Office und Internet Explorer
Microsoft Patch Day: Elf Updates im August
MS08-43: Code-Ausführung über Excel
Diverse Lücken in Microsoft Excel erlauben die Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers. Grund ist jeweils eine mangelhafte Überprüfung bestimmter Felder im Excel-Dokument. Betroffen sind Indexwerte, Arrayindizes und Datensätze. Letzteres lässt sich auch gegen einen Sharepoint-Server ausnutzen und kann dort zur Ausweitung von Rechten führen.
Um diese Lücken auszunutzen, muss der Angreifer das Opfer dazu bringen, eine speziell präparierte Excel-Datei zu öffnen. Beim Angriff gegen Sharepoint muss er lediglich eine entsprechende Excel-Datei auf den Server laden und mit dieser Datei einen Webpart erzeugen.
Eine weitere Lücke in Office 2007 besteht darin, dass Excel-Dokumente mit einer Remote-Datenverbindung unter Umständen Reste der Anmeldeinformationen enthalten können, auch wenn diese nicht gespeichert werden sollen.
Datum |
13.08.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Office 2000, XP, 2003, 2007, Office 2004 for Mac, 2008 for Mac |
Auswirkung |
Code-Ausführung, Rechteausweitung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |