Microsoft: Bug in Word und Excel lässt Datenklau zu

Fast alle Programmversionen betroffen; Konzern veröffentlicht drei neue Patches

Microsoft (Börse Frankfurt: MSF) hat drei neue Sicherheits-Patches veröffentlicht. Ein Codefehler betrifft sieben Versionen von Word und Excel. Durch den Bug kann ein Hacker Word- und Excel-Dokumente dazu nutzen, um Daten vom Rechner des Opfers zu stehlen.

Die beiden Programme setzen „Field Codes“ ein, um bestimmte Informationen wie Autor oder andere Datei-Information zu aktualisieren. „Normalerweise wird der User vor einem Update der Daten vom Programm informiert. Ein besonderer Field Code oder externes Update könnte jedoch dazu verwendet werden, um eine Aktualisierung ohne Wissen des Users auslösen“, heißt es auf dem Sicherheits-Bulletin. Konkret heißt das, dass ein Hacker diese Schwachstelle ausnutzen könnte, um ein Dokument zu erschaffen das, wenn es geöffnet wird, sich selbst automatisch updated und dann den gesamten Dateiinhalt speichert.

Insgesamt sollen sieben Versionen des populären Text- und Tabellenkalkulationsprogramms von dem Fehler betroffen sein. Unter dem Betriebssystem Windows sind laut Microsoft Word 97, 2000 und 2002 sowie Excel 2002 betroffen. Unter dem Mac OS seien es Word 98, 2001 und X. Microsoft stuft das Problem als „moderat“ ein, empfiehlt jedoch upzudaten. Kostenlose Patches für Word 97, 2000, Word 2002, Excel 2002 und Word für Macintosh steht für verschiedene Versionen zum Download bereit.

Ein zweiter Fehler betrifft Windows XP. Hier steckt das „moderate“ Sicherheitsproblem im Hilfe-System. So könnte ein böswilliger Programmierer das System dazu benutzen, um Dateien vom Copmuter des Opfers zu löschen.

Der Bug liegt in einem File, das eigentlich nur vom System zu verwenden sein soll, jetzt aber mit dem Web interagiert. Aufgabe der Datei sei es, anonym Systemdaten und Hardwareinformationen mit Erlaubnis des Users an Microsoft zu schicken. Die Entwickler dort sollen mit den Infos nachforschen können, warum das System bestimmte Gerätetreiber nicht findet. Ein Sicherheitsproblem stellt laut Microsoft eine besonders präparierte Website da, die genau diese zu Daten unerlaubt abfragen und speichern kann. Microsoft hat ein kostenloses Patch für diesen Buq bereitgestellt. XP-Systeme die bereits das Service Pack 1 installiert haben, sollen nicht von dem Problem betroffen sein.

Die dritte Gefahr befindet sich in der häufig eingesetzten Datenbank-Serversoftware SQL. Der als „kritisch“ eingestufte Fehler ist laut dem Hersteller in den Versionen 2000, 7 sowie Microsoft Data Engine 1.0 und Microsoft Desktop Engine 2000 zu finden. Diese Tools werden laut dem Redmonder Konzern hauptsächlich von Programmierern für die Software-Entwicklung genutzt.

Ein User mit wenigen Privilegien soll durch den Buq Aufgaben im Web ausführen, löschen, aktualisieren oder einfügen können. Entsprechende Patches für SQL 7 und Server 2000 sollen auch die Fehler in Microsoft Data Engine und Desktop Engine beheben.

Bisher hat Microsoft in diesem Jahr damit 61 Sicherheitswarnungen zu seinen Produkten ausgesprochen. Das bis jetzt schon mehr als im vergangenen Jahr.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)

Themenseiten: Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Microsoft: Bug in Word und Excel lässt Datenklau zu

Kommentar hinzufügen
  • Am 22. Oktober 2002 um 9:12 von QFT

    sich schützen
    ich habe eine desktop-firewall laufen, die ich entsprechend konfiguriert habe. so wurden u.a. allen office-produkten "verboten", ins web zu quasseln oder daraus zu hören.<br />
    wer sich heute nicht schützt, ist selber schuld!<br />
    <br />
    -QFT-

  • Am 23. Oktober 2002 um 8:28 von bb

    DAUs vergessen?
    Ich kann QFT nur beipflichten.<br />
    Allerdings darf man den "normale" Anwender nicht vergessen.<br />
    Dieser ist nämlich damit total überfordert. Besonders, wer noch nicht einmal sein ISDN-Zugang selber eingerichtet hat… <br />
    Das MS fahrlässig gehandelt hat, glaube ich zwar nicht, aber bestimmte Löcher in MS-Applikationen sind schon recht eigenartig…<br />
    MS hat u.a. einen so grossen Marktanteil, weil der normale Anwender damit wenigstens einigermaßen zurecht kommt.<br />
    OpenSource (Linux, Gozilla etc.) bleibt meiner Meinung nach immer noch das sicherste. <br />
    Und trotzdem. <br />
    Auch hier sollte man eine Absicherung durch eine Firewall dringend anraten. <br />
    Es ist heute zu leicht geworden Angriffe durchzuführen. <br />
    Angriffe sind nicht mehr professionellen Hackern und Cracker vorbehalten. <br />
    Mittlerweile gibt es genung Programme, mit den jeder DAU im Netz Unfug treiben kann…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *