You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1585

[MS/Windows] Schwachstelle in den Office Web Components
(2009-07-13 21:09:43.992479+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/advisory/973472.mspx

Eine Schwachstelle in den Microsoft Office Web Components, mittels derer Office Anwendungen über ActiveX direkt aus Webseiten heraus gestartet werden können, kann von einem Angreifer durch eine entsprechend präparierte Webseite dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

Zusammenfassung

  • CVE-2009-1136:
    Betroffen: Microsoft Web Components
    Einfallstor: ActiveX, z.B. in Webseiten
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: bislang nicht verfügbar
    Vulnerability ID: CVE-2009-1136

Betroffene Systeme

  • Microsoft Office XP SP3
  • Microsoft Office 2003 SP3
  • Microsoft Office XP Web Components SP3
  • Microsoft Office 2003 Web Components SP3
  • Microsoft Office 2003 Web Components für das 2007 Microsoft Office System SP1
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition SP3
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition SP3
  • Microsoft Internet Security and Acceleration Server 2006
  • Internet Security and Acceleration Server 2006 Supportability Update
  • Microsoft Internet Security and Acceleration Server 2006 SP1
  • Microsoft Office Small Business Accounting 2006

Nicht betroffene Systeme

  • Microsoft Office 2000 SP3
  • 2007 Microsoft Office Suite SP1
  • 2007 Microsoft Office Suite SP2
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP1
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP2
  • Microsoft Forefront Threat Management Gateway, Medium Business Edition
  • Microsoft Internet Security and Acceleration Server 2000 SP2

Einfallstor

  • ActiveX Control, z.B. in einer Webseite

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine Datei mit einem entsprechenden OLE-Objekt (ActiveX Control) Diese kann z.B in einer Webseite enthalten sein oder über eine E-Mail-Nachricht zugeleitet werden.
    (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des die Datei (Webseite) öffnenden Benutzers auf dem beherbergenden System
    (user compromise)

Typ der Verwundbarkeit

  • Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in den Microsoft Office Web Components, mittels derer Office Anwendungen über ActiveX direkt aus Webseiten heraus gestartet werden können, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der das entsprechende Control aktiviert. Da die Web Components i.A. zur Einbettung von Office-Anwendungen in Webseiten verwendet werden, werden die Controls in diesem Fall mittels des Internet Exporers gestartet. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Workaround

Gegenmaßnahmen

  • Es sind bislang keine Patches zur Behebung der Schwachstelle verfügbar.

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.