Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

24.01.2008

Experten warnen:Excel leckt gewaltig

In vielen Versionen von Microsoft Excel klafft ein schwerwiegendes Zero-Day-Sicherheitsloch.
Wie eine Dockingstation verbindet IMS die verschiedenen Anwendungen über die Netze mit unterschiedlichen Endgeräten.
Wie eine Dockingstation verbindet IMS die verschiedenen Anwendungen über die Netze mit unterschiedlichen Endgeräten.
Telefonie aus der Steckdose: Mit Hosted IP und Centrex-Lösungen ist Sprachtelefonie nur noch ein Service.
Telefonie aus der Steckdose: Mit Hosted IP und Centrex-Lösungen ist Sprachtelefonie nur noch ein Service.

Die dänischen Experten von Secunia bewerten das Leck als "extrem kritisch". Es betrifft die Stand-alone-Versionen Excel 2000, 2002 und 2003 (bis SP2), Office 2003 (bis SP2), den Excel Viewer 2003 sowie Office 2004 für den Mac. Office 2003 mit SP3, Office 2007 und Office 2008 für den Mac sind offenbar nicht betroffen. Ursache der Sicherheitslücke ist ein nicht näher spezifizierter Fehler bei der Behandlung von Excel-Dateien, den Angreifer über einen File mit böswillig verändertem Header ausnutzen können.

Einem Microsoft-Advisory zufolge sind entsprechende Exploits bereits in Umlauf. Einen Patch hat der Softwarekonzern derzeit noch nicht parat. Zumindest für Excel 2003 empfiehlt der Hersteller als Workaround die Verwendung des Microsoft Office Isolated Conversion Environment (Moice), einer Richtlinie, die Dateien vorerst blockiert. Generell sollte man im Moment keine nicht vertrauenswürdigen Excel-Dateien öffnen.

Microsoft untersucht die Sicherheitslücke derzeit noch genauer. Danach will das Unternehmen entscheiden, ob es einen Patch im Rahmen seines normalen monatlichen Rhythmus oder vielleicht sogar außer der Reihe veröffentlicht. (tc)