PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registrierungdie Foren-Regelndie 2016 überarbeiteten FAQs für unser CMS und das ForumImpressum und DatenschutzSucheKalenderMitgliederlistezu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht


PC-Experience » Software Foren: » Microsoft-Office 97 bis Office 2016: » Kritische Sicherheitslücken in etlichen Microsoft-Produkten » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Thema ist geschlossen
Zum Ende der Seite springen Kritische Sicherheitslücken in etlichen Microsoft-Produkten
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Cerberus Cerberus ist männlich
Chefredakteur


Dabei seit: 23.07.2002
Beiträge: 11.737
Herkunft: Lübeck

Kritische Sicherheitslücken in etlichen Microsoft-Produkten Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthalten die Programmkomponenten Office Web Components 2000 und 2002 drei kritische Sicherheitslöcher. Diese Komponenten sind Bestandteil zahlreicher Microsoft-Produkte, darunter auch Office XP, wofür erst gestern das Service Pack 2 erschienen ist, das den aktuellen Patch bereits enthalten soll.

Die Office Web Components (OWC) enthalten ActiveX-Controls, die eingeschränkte Funktionen von nicht installierten Office-Applikationen im Internet Explorer bieten und in denen drei Sicherheitslücken entdeckt wurden. Alle Sicherheitslecks lassen sich durch eine Webseite oder eine HTML-Mail ausnutzen.

Eine Sicherheitslücke in der Funktion Host() erlaubt es, auf das Applications Object Model des betreffenden Systems zuzugreifen, was ein Angreifer dazu missbrauchen kann, eine Office-Applikation zu starten und so Betriebssystem-Befehle als angemeldeter Nutzer auszuführen.

Ein weiteres Sicherheitsloch findet sich in den Befehlen Copy() und Paste(), die Texte kopieren oder einfügen. Dabei wird die Deaktivierung der Sicherheits-Einstellung "Einfügeoperation über ein Skript zulassen" im Internet Explorer missachtet, so dass man über eine Webseite Zugriff auf die Zwischenablage des Anwenders erhält.

Schließlich steckt ein weiteres Leck in der Funktion LoadText(), worüber eine Webseite Text in ein Browser-Fenster laden kann. Dabei wird geprüft, ob der Text von der gleichen Domain stammt wie das geöffnete Browser-Fenster. Dieses lässt sich umgehen, womit ein Angreifer beliebige Dateien des betreffenden Systems einsehen kann.

Die betreffenden Office Web Components 2000 und 2002 sind Bestandteil der Microsoft-Produkte Office 2000, Office XP, Money 2002, Money 2003, Project 2002, BackOffice Server 2000, BizTalk Server 2000/2002, Commerce Server 2000/2002, Internet Security and Acceleration Server 2000, Project Server 2002 sowie dem Small Business Server 2000.

Microsoft bietet passende Updates ab sofort über das betreffende Security Bulletin zum Download an.

Quelle: Golem

Cerberus
22.08.2002 12:08 Cerberus ist offline Homepage von Cerberus Beiträge von Cerberus suchen Nehmen Sie Cerberus in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Neues Thema erstellen Thema ist geschlossen
PC-Experience » Software Foren: » Microsoft-Office 97 bis Office 2016: » Kritische Sicherheitslücken in etlichen Microsoft-Produkten

Impressum/Datenschutz


Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2017 PC-Experience.de