SECURITY - Buffer Overflow in Word-Viewer
Wieder einmal gibt Office, bzw. Word Grund zur Sorge:
Tag Drei des Month of ActiveX Bugs beschert Anwendern eine kritische Lücke im Office-Word-Viewer (WordViewer.ocx), über den Angreifer ein System beispielsweise mit Schädlingen infizieren können. Für einen erfolgreichen Angriff muss ein Opfer nur eine manipulierte Webseite besuchen. Damit dürfte auch Microsofts Empfehlung erst einmal hinfällig sein, bei bekannten Lücken in Word, Excel oder PowerPoint bis zum Erscheinen eines Updates auf die Viewer zurückzugreifen.
Anzeige
Der Original-Fehlerbericht ist schon wie die beiden zuvor veröffentlichten Berichte kaum als solcher zu bezeichnen: Ein Link auf eine Demo und ein Auszug aus den Registern zu dem Zeitpunkt, wenn der Fehler ausgelöst wird. Secunia hat das Problem wie auch schon bei den Excel- und PowerPoint-Viewer-Lücken etwas genauer unter die Lupe genommen. Demnach ist ein Buffer Overflow beim Aufruf bestimmter Methoden, wie HttpDownloadFile oder OpenWebFile() mit zu langen Argumenten für das Problem verantwortlich.
Der Fehler wurde in Version 3.2.0.5 des Controls gefunden, andere Versionen sind sehr wahrscheinlich ebenfalls betroffen. Ein Patch gibt es nicht, Abhilfe bringt zwar das Setzen des Kill-Bits für das Control, allerdings dürfte das komplette Abschalten von ActiveX auf längere Sicht die einfachere und sichere Alternative sein.
Siehe dazu auch: Fehlerbericht von Secunia, dort finden sich sich noch ein paar Infos mehr zu dem Sicherheitsleck.
Quelle: Heise.de
Tag Drei des Month of ActiveX Bugs beschert Anwendern eine kritische Lücke im Office-Word-Viewer (WordViewer.ocx), über den Angreifer ein System beispielsweise mit Schädlingen infizieren können. Für einen erfolgreichen Angriff muss ein Opfer nur eine manipulierte Webseite besuchen. Damit dürfte auch Microsofts Empfehlung erst einmal hinfällig sein, bei bekannten Lücken in Word, Excel oder PowerPoint bis zum Erscheinen eines Updates auf die Viewer zurückzugreifen.
Anzeige
Der Original-Fehlerbericht ist schon wie die beiden zuvor veröffentlichten Berichte kaum als solcher zu bezeichnen: Ein Link auf eine Demo und ein Auszug aus den Registern zu dem Zeitpunkt, wenn der Fehler ausgelöst wird. Secunia hat das Problem wie auch schon bei den Excel- und PowerPoint-Viewer-Lücken etwas genauer unter die Lupe genommen. Demnach ist ein Buffer Overflow beim Aufruf bestimmter Methoden, wie HttpDownloadFile oder OpenWebFile() mit zu langen Argumenten für das Problem verantwortlich.
Der Fehler wurde in Version 3.2.0.5 des Controls gefunden, andere Versionen sind sehr wahrscheinlich ebenfalls betroffen. Ein Patch gibt es nicht, Abhilfe bringt zwar das Setzen des Kill-Bits für das Control, allerdings dürfte das komplette Abschalten von ActiveX auf längere Sicht die einfachere und sichere Alternative sein.
Siehe dazu auch: Fehlerbericht von Secunia, dort finden sich sich noch ein paar Infos mehr zu dem Sicherheitsleck.
Quelle: Heise.de
Eingestellt von megablaster Am/um
5/03/2007 09:43:00 PM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite