MS flickt Loch in Office Web Components

Microsoft bietet einen Patch für drei Sicherheitsprobleme in den Office Web Components an. Im schlimmsten Fall kann ein Angreifer über die Lücken Code ausführen. Allerdings ist der Patch nur bedingt wirkungsvoll.

Die Schuld an der Misere hat ein ActiveX-Control in den Web Components. Im Control sind drei fehlerhaft eingebundene Funktionsaufrufe (Host, LoadText, Copy/Paste). Die Lücken können über eine präparierte Webseite oder HTML-Mail ausgenutzt werden, unter anderem um Programme und Befehle auf dem Client-System auszuführen.

Zum Hintergrund: Mit den Web Components lassen sich Office-Funktionen im Web nutzen, auch ohne ein komplettes Office installiert zu haben. Betroffen sind deshalb nicht nur Benutzer von Office. Die Komponenten stecken auch in BackOffice Server, BizTalk Server, Commerce Server, ISA Server, Money, Microsoft Project, Microsoft Project Server sowie dem Small Business Server. Außerdem sind die Web Components als separater Download erhältlich.

Mit dem Patch, den Microsoft als Abhilfe liefert, sind die Lücken zwar geschlossen, das Problem bleibt aber in gewisser Weise bestehen. Wie Microsoft zugeben muss, kann das ActiveX-Control nicht via "Kill Bit" abgeschaltet und durch ein anderes ersetzt werden, weil es für andere Aufgaben noch gebraucht wird.

Unter anderem verweisen einige Programme von Drittanbietern fest-codiert auf die fehlerhafte Kontrolle; auch die mit Office generierten Webseiten brauchen diese Controls. Aus diesem Grund bleibt das Zertifikat für die Kontrolle bestehen. Ein Angreifer könnte dies ausnutzen, um die alte Fassung zu reaktivieren, für die Microsoft aus den genannten Gründen weiterhin gerade steht. Hat ein Benutzer Microsoft in den Browser-Einstellungen als vertauenswürdigen Anbieter eingestuft, lässt sich die alte Version sogar ohne Benachrichtigung einschleusen.

Betroffenen Benutzern empfiehlt der Konzern deshalb, die Liste mit den vertauenswürdigen Unternehmen, inklusive Microsoft, aus den Internet Explorer-Einstellungen zu löschen. Da das Control etwa sieben MByte groß ist, könnte einem aufmerksamen Benutzer auch auffallen, wenn ein Angreifer versucht, die alte Fassung nachzuladen, glaubt Microsoft. Patch und Bulletin mit weiteren Informationen finden Sie hier bei Microsoft. (uba)