Microsoft hat vor einer Zero-Day-Lücke in Office Web Components (OWC) gewarnt. Sie besteht im Spreadsheet-ActiveX-Control von OWC 10 und 11 und ermöglicht einem Angreifer, über eine manipulierte Website Schadcode einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen.
Von der Schwachstelle betroffen sind Office XP SP3, Office 2003 SP3, OWC für Office XP, 2003 und 2007 sowie ISA Server 2004 und 2006 und Office Small Business Accounting 2006. Laut Microsoft werden Office Web Components nur als Option zusammen mit Office 2007 installiert. Zudem lasse sich die Schwachstelle nicht über Outlook oder Outlook Express ausnutzen, da beide Anwendungen HTML-E-Mails nur in einer eingeschränkten Sicherheitszone öffneten.
Als Workaround empfiehlt Microsoft, das ActiveX-Control zu deaktivieren. Dafür hat der Softwareanbieter eine Anleitung und ein Fix-it-Tool bereitgestellt. Die Schwachstelle werde in geringem Umfang schon ausgenutzt. Ein Patch sei in Arbeit. Ob er schon zum Juli-Patchday bereitstehen wird, teilte das Unternehmen nicht mit.
Neueste Kommentare
Noch keine Kommentare zu Microsoft warnt vor Zero-Day-Lücke in Office Web Components
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.