MS kann Lücke nicht vollständig stopfen
Microsoft bietet einen Patch für drei Sicherheitsprobleme in den Office-Web-Components an. Im schlimmsten Fall kann ein Angreifer über die Lücken Code ausführen. Allerdings ist der Patch nur bedingt wirkungsvoll.
Die Schuld an der Misere hat ein ActiveX-Control in den Web-Components. Im Control sind drei fehlerhaft eingebundene Funktionsaufrufe [Host, LoadText, Copy/Paste]. Die Lücken können über eine präparierte Website oder HTML-Mail ausgenutzt werden, unter anderem um Programme und Befehle auf dem Client-System auszuführen.
Mit den Web-Components lassen sich Office-Funktionen im Web nutzen, auch ohne ein komplettes Office installiert zu haben. Betroffen sind deshalb nicht nur Benutzer von Office. Die Komponenten stecken auch in BackOffice-Server, BizTalk-Server, Commerce-Server, ISA-Server, Money, Microsoft Project, Microsoft-Project-Server sowie dem Small-Business-Server. Außerdem sind die Web-Components als separater Download erhältlich.
Patch und Security-Bulletin MS02-044Hintertür bleibt offen
Mit dem Patch, den Microsoft als Abhilfe liefert, sind die Lücken zwar geschlossen, das Problem bleibt aber in gewisser Weise bestehen. Wie Microsoft zugeben muss, kann das ActiveX-Control nicht via "Kill Bit" abgeschaltet und durch ein anderes ersetzt werden, weil es für andere Aufgaben noch gebraucht wird.
Unter anderem verweisen einige Programme von Drittanbietern festcodiert auf die fehlerhafte Kontrolle, und auch die mit Office generierten Websites brauchen diese Controls. Aus diesem Grund bleibt das Zertifikat für die Kontrolle bestehen.
Ein Angreifer könnte dies ausnutzen, um die alte Fassung zu reaktivieren, für die Microsoft aus den genannten Gründen weiterhin gerade steht. Hat ein Benutzer Microsoft in den Browser-Einstellungen als vertrauenswürdigen Anbieter eingestuft, lässt sich die alte Version sogar ohne Benachrichtigung einschleusen.
Betroffenen Benutzern empfiehlt der Konzern deshalb, die Liste mit den vertrauenswürdigen Unternehmen inklusive Microsoft aus den Internet-Explorer-Einstellungen zu löschen. Da das Control etwa sieben MByte groß ist, könnte einem aufmerksamen Benutzer auch auffallen, wenn ein Angreifer versucht, die alte Fassung nachzuladen, glaubt Microsoft.