Microsoft stopft kritische Office-Lücke
Beim monatlichen Update-Dienstag hat Microsoft drei Security Bulletins veröffentlicht. Die meisten Sicherheits-Updates sind für Microsoft Office und beseitigen sieben Schwachstellen, von denen eine als kritisch eingestuft ist.
Microsofts Patch Day ist im November wie angekündigt recht überschaubar ausgefallen. Drei Security Bulletins behandeln insgesamt 11 Sicherheitslücken, die meisten davon in MS Office. Eine Office-Lücke ist als kritisch eingestuft, für eine weitere ist Exploit-Code öffentlich verfügbar. Außerdem stopft Microsoft vier Lücken in seiner Remote-Access-Lösung Forefront Unified Access Gateway 2010.
Das Security Bulletin MS10-087 befasst sich mit fünf Schwachstellen in MS Office. Eine nur für Office 2007 und 2010 als kritisch eingestufte Lücke ermöglicht es einem Angreifer Code einzuschleusen, indem er eine speziell präpariert und RTF-formatierte Mail sendet. Wird diese etwa mit Outlook geöffnet, kommt es zu einem Pufferüberlauf und der eingeschleuste Code wird mit den Berechtigungen des angemeldeten Benutzers ausgeführt.
Ebenfalls problematisch ist eine in Office 2007 und 2010 vorhandene Anfälligkeit für so genannte Binary-Planting-Attacken, auch "DLL-Preloading" genannt. Dabei handelt es sich um eine viele Programme betreffende Sicherheitslücke beim Nachladen von Programmbibliotheken. Exploit-Code für Powerpoint ist seit Monaten öffentlich verfügbar, doch die anfällige Komponente wird auch von anderen Anwendungen in den Office-Paketen genutzt. Diese und die übrigen Lücken stuft Microsoft als hohes Risiko ein.
Im Bulletin MS10-088 behandelt Microsoft zwei Schwachstellen in Powerpoint 2002 und 2003. Sie können mit präparierten Powerpoint-Dokumenten ausgenutzt werden, um Code einzuschleusen und auszuführen. Ein Angreifer könnte auf diese Weise die volle Kontrolle über den Rechner erlangen.
In Forefront Unified Access Gateway 2010 stecken vier als hohes Risiko eingestufte Sicherheitslücken. Eine davon, eine XSS-Lücke (Cross-Site Scripting), kann zu einer Erhöhung von Berechtigungen führen. Die Updates für Forefront UAG sind vorläufig nur über Microsofts Download-Center erhältlich, noch nicht über die automatischen Update-Funktionen.
Von den Office-Lücken sind auch die Software-Versionen für Mac OS X betroffen. Doch die nötigen Aktualisierungen für Office 2004/2008 für Mac sind noch nicht verfügbar. Das nagelneue Microsoft Office 2011 für Mac erhält hingegen ein 100 MB großes Update, das nicht nur Sicherheitslücken beseitigt.
