Sicherheitslücke in Office 2000

Microsoft bietet einen Patch für eine Sicherheitslücke in Office 2000 an. Durch ein falsch ausgezeichnetes ActiveX-Steuerelement (Office 2000 UA Control) öffnet Office 2000 für feindliche Webseiten die Möglichkeit, Befehle auf PCs auszuführen. Andere Office-Versionen sind laut Microsoft nicht betroffen.

Das ActiveX-Control ist für die Office-Hilfe zuständig. Es sorgt dafür, dass innerhalb der Hilfe-Assistenten die so genannte "Show me"-Funktion ausgeführt werden kann, die Beispiele oder eine Problemlösung anbietet. Das ActiveX-Control hierfür ist fälschlicherweise als "safe for scripting" ausgezeichnet, was eine Art Freibrief für den Eingriff in die Office-Funktionen darstellt.

Das mit derartigen Rechten ausgestattet ActiveX-Control könnte zum Beispiel über den Internet Explorer missbraucht werden. Die Standardeinstellung des Microsoft-Browsers erlaubt es Webseiten, Control auszuführen, wenn diese als "safe for scripting" zertifiziert sind. Welche Möglichkeiten dies bietet, beschreibt Microsoft selbst: Ein Angreifer könnte dadurch die Sicherheitseinstellungen für Makros ändern und beliebige Makros ausführen.

Die Gefahr ist nicht allein beim Surfen im Internet vorhanden. Eine E-Mail mit entsprechendem HTML-Code genügt je nach Einstellung des Mail-Clients - ILOVEYOU lässt grüßen.

Microsoft bietet einen Patchfür die grobe Lücke zum Download an. Dieses Update behebt laut Microsoft das Problem, indem es die "Show me"-Funktion in Office-Programmen einfach abschaltet. Neben den Links auf die mit "Show me" verbundenen Hilfethemen fallen dann auch Pop-ups in der Hilfe flach. Das Kontroll-Element selbst behält den Status "safe for scripting".

Im Internet Explorer sind die betroffenen ActiveX-Einstellungen unter Extras/Internetoptionen/Sicherheit (Internet) unter "Stufe anpassen" zu finden. Die Funktion "ActiveX Steuerelemente ausführen, die für Scripting sicher sind" öffnet das Sicherheitsloch beim Surfen und sollte deaktiviert werden. (uba)