Patch Day März 2006: Kritische Lücke in Office
MS06-012: Lücken in Office erlauben Ausführung beliebigen Codes
Gleich eine ganze Reihe von Lücken in verschiedenen Office-Produkten erlauben es einem Angreifer, beliebigen Code auf dem System des Opfers auszuführen.
Fünf davon betreffen Excel und lassen sich sogar auf den Mac-Versionen von Office ausnutzen. Sie beruhen auf Validierungsfehlern, die über speziell aufgebaute Excel-Dateien zu einem Pufferüberlauf führen. Die sechste Lücke betrifft ein Workflow-Feature von Office, mit dem sich Dokumente in einer Gruppe von Benutzern weiterleiten lässt. Die Routing-Information wird im Dokument eingebettet und dann zur Weiterverteilung genutzt. Ist die Information fehlerhaft aufgebaut, kommt es zu einem Pufferüberlauf.
Datum |
14.03.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Office 2000 SP3, Office XP SP3, Excel 2003 SP2, Works Suite 2000 bis 2006, Excel X für Mac, Excel 2004 für Mac |
Auswirkung |
Ausführung beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
CAN-2005-4131, CAN-2006-0028, CAN-2006-0029, CAN-2006-0030, CAN-2006-0031, CAN-2006-0009 |