Kein Patch: Mehr Angriffe auf neue Web-ActiveX-Lücke in Office

Diskutiere Kein Patch: Mehr Angriffe auf neue Web-ActiveX-Lücke in Office im IT-News Forum im Bereich News; Die am Montag bekannt gewordene Sicherheitslücke in einem ActiveX-Steuerelement von Microsoft Office wird inzwischen für Angriffe im Web...

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.640
Alter
40
1376045b14d895687e.gif


137604a5df751d64af.jpg


Die am Montag bekannt gewordene Sicherheitslücke in einem ActiveX-Steuerelement von Microsoft Office wird inzwischen für Angriffe im Web ausgenutzt, um Malware einzuschleusen. Eine Fix-it-Lösung schafft Abhilfe.

Microsoft hat am 13. Juli eine Sicherheitswarnung heraus gegeben, in der es vor einer bis dahin nicht öffentlich bekannten Sicherheitslücke warnt, die über den Internet Explorer ausgenutzt werden kann. Zu diesem Zeitpunkt waren nur relativ wenige Angriffe bekannt, die diese Schwachstelle ausgenutzt haben. Das hat sich inzwischen geändert. Exploit-Code für die ActiveX-Lücke ist mittlerweile Bestandteil von Angriffs-Toolkits.

Der Fehler liegt in einer Web-Komponente von Microsoft Office, dem "Office Web Components Spreadsheet ActiveX-Steuerelement" (OWC 10 und OWC11). Es es dient etwa zum Veröffentlichen von Excel-Tabellen im Web und wird standardmäßig mit Office XP (OWC10) und Office 2003 (OWC 10 und OWC11) installiert. Andere Installationen wie der ISA Server oder der Biztalk Server enthalten OWC11 standardmäßig. Bei Office 2007 ist OWC 11 optional. Es kann auch separat bei Microsoft herunter geladen werden.

Ein Angreifer kann eine Web-Seite so präparieren, dass allein der Besuch dieser Seite mit dem Internet Explorer bereits genügt, um Malware einzuschleusen. Ein Angreifer muss potenzielle Opfer also nur auf diese Seite locken. Dazu reicht auch eine automatische Weiterleitung von einer gehackten, legitimen Website. Andere Möglichkeiten sind Links, die zum Beispiel per Mail, Instant Messenger oder etwa über Twitter verbreitet werden.

Beim gestrigen Patch Day hat Microsoft noch kein Sicherheits-Update ausgeliefert, das diese Schwachstelle ausräumt. Es gibt jedoch im Artikel KB973472 der Microsoft Knowledge Base einen so genannten Fix-it-Button, der die nötigen Kill-Bits setzt. Damit wird das Laden des anfälligen ActiveX-Steuerelements im Internet Explorer verhindert.




 
Thema:

Kein Patch: Mehr Angriffe auf neue Web-ActiveX-Lücke in Office

Kein Patch: Mehr Angriffe auf neue Web-ActiveX-Lücke in Office - Ähnliche Themen

Internetsicherheit 2018 – Neue Bedrohungen aus dem Web: Wer glaubt, gut geschützt vor Schadsoftware oder fremden Zugriffen auf den eigenen Rechner zu sein und seine Informationen und Daten in Sicherheit...
AMD kündigt BIOS-Updates an, um die von CTS Labs veröffentlichten Sicherheitslücken in Kombination mit Windows-Patch zu schließen - UPDATE: Mark Papermaster, seinerseits Technik-Chef bei AMD, hat sich in einem Blogbeitrag ausführlich zu den von CTS Labs veröffentlichten...
CPU-Sicherheitslücke: laut Google nicht nur CPUs von Intel, sondern teilweise auch AMD und ARM betroffen - Microsoft bereitet Patch vor - UPDATE: Über die gestern berichtete CPU-Sicherheitslücke sind nun weitere, umfangreichere Informationen aufgetaucht. Neben einer genaueren Aufschlüsselung...
Microsoft: März-Patchday mit Updates vom Februar - zahlreiche Lücken geschlossen: Üblicherweise ist der zweite Dienstag im Monat der Tag, an dem Microsoft seine Sicherheitsupdates für Windows, Office und weitere Anwendungen...
Sicherheitsupdate Dezember 2016: <p>Zum <a href="https://blogs.technet.microsoft.com/michaelkranawetter/2016/12/13/sicherheitsbulletins-dezember-2016/" target="_blank">Patchday im...
Oben