Microsoft: Bug in Word und Excel lässt Datenklau zu

Microsoft (Börse Frankfurt: MSF) hat drei neue Sicherheits-Patches veröffentlicht. Ein Codefehler betrifft sieben Versionen von Word und Excel. Durch den Bug kann ein Hacker Word- und Excel-Dokumente dazu nutzen, um Daten vom Rechner des Opfers zu stehlen.

Die beiden Programme setzen „Field Codes“ ein, um bestimmte Informationen wie Autor oder andere Datei-Information zu aktualisieren. „Normalerweise wird der User vor einem Update der Daten vom Programm informiert. Ein besonderer Field Code oder externes Update könnte jedoch dazu verwendet werden, um eine Aktualisierung ohne Wissen des Users auslösen“, heißt es auf dem Sicherheits-Bulletin. Konkret heißt das, dass ein Hacker diese Schwachstelle ausnutzen könnte, um ein Dokument zu erschaffen das, wenn es geöffnet wird, sich selbst automatisch updated und dann den gesamten Dateiinhalt speichert.

Insgesamt sollen sieben Versionen des populären Text- und Tabellenkalkulationsprogramms von dem Fehler betroffen sein. Unter dem Betriebssystem Windows sind laut Microsoft Word 97, 2000 und 2002 sowie Excel 2002 betroffen. Unter dem Mac OS seien es Word 98, 2001 und X. Microsoft stuft das Problem als „moderat“ ein, empfiehlt jedoch upzudaten. Kostenlose Patches für Word 97, 2000, Word 2002, Excel 2002 und Word für Macintosh steht für verschiedene Versionen zum Download bereit.

Ein zweiter Fehler betrifft Windows XP. Hier steckt das „moderate“ Sicherheitsproblem im Hilfe-System. So könnte ein böswilliger Programmierer das System dazu benutzen, um Dateien vom Copmuter des Opfers zu löschen.

Der Bug liegt in einem File, das eigentlich nur vom System zu verwenden sein soll, jetzt aber mit dem Web interagiert. Aufgabe der Datei sei es, anonym Systemdaten und Hardwareinformationen mit Erlaubnis des Users an Microsoft zu schicken. Die Entwickler dort sollen mit den Infos nachforschen können, warum das System bestimmte Gerätetreiber nicht findet. Ein Sicherheitsproblem stellt laut Microsoft eine besonders präparierte Website da, die genau diese zu Daten unerlaubt abfragen und speichern kann. Microsoft hat ein kostenloses Patch für diesen Buq bereitgestellt. XP-Systeme die bereits das Service Pack 1 installiert haben, sollen nicht von dem Problem betroffen sein.

Die dritte Gefahr befindet sich in der häufig eingesetzten Datenbank-Serversoftware SQL. Der als „kritisch“ eingestufte Fehler ist laut dem Hersteller in den Versionen 2000, 7 sowie Microsoft Data Engine 1.0 und Microsoft Desktop Engine 2000 zu finden. Diese Tools werden laut dem Redmonder Konzern hauptsächlich von Programmierern für die Software-Entwicklung genutzt.

Ein User mit wenigen Privilegien soll durch den Buq Aufgaben im Web ausführen, löschen, aktualisieren oder einfügen können. Entsprechende Patches für SQL 7 und Server 2000 sollen auch die Fehler in Microsoft Data Engine und Desktop Engine beheben.

Bisher hat Microsoft in diesem Jahr damit 61 Sicherheitswarnungen zu seinen Produkten ausgesprochen. Das bis jetzt schon mehr als im vergangenen Jahr.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)