Microsoft warnt vor Zero-Day-Lücke in Office Web Components

Es besteht ein Fehler in einem Spreadsheet-ActiveX-Control von OWC 10 und 11. Ein Angreifer kann über eine manipulierte Website Schadcode einschleusen und ausführen. Betroffen sind Office XP, 2003 und 2007 sowie ISA Server 2004 und 2006.

Microsoft hat vor einer Zero-Day-Lücke in Office Web Components (OWC) gewarnt. Sie besteht im Spreadsheet-ActiveX-Control von OWC 10 und 11 und ermöglicht einem Angreifer, über eine manipulierte Website Schadcode einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen.

Von der Schwachstelle betroffen sind Office XP SP3, Office 2003 SP3, OWC für Office XP, 2003 und 2007 sowie ISA Server 2004 und 2006 und Office Small Business Accounting 2006. Laut Microsoft werden Office Web Components nur als Option zusammen mit Office 2007 installiert. Zudem lasse sich die Schwachstelle nicht über Outlook oder Outlook Express ausnutzen, da beide Anwendungen HTML-E-Mails nur in einer eingeschränkten Sicherheitszone öffneten.

Als Workaround empfiehlt Microsoft, das ActiveX-Control zu deaktivieren. Dafür hat der Softwareanbieter eine Anleitung und ein Fix-it-Tool bereitgestellt. Die Schwachstelle werde in geringem Umfang schon ausgenutzt. Ein Patch sei in Arbeit. Ob er schon zum Juli-Patchday bereitstehen wird, teilte das Unternehmen nicht mit.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft warnt vor Zero-Day-Lücke in Office Web Components

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *