You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-935

[MS/OWC] Schwachstellen in Office Web Components
(2002-08-22 19:22:01.795156+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/08/msg00004.html

Die Office Web Components (OWC) beinhalten mehrere ActiveX Controls die Schwachstellen aufweisen. Die OWC werden mit zahlreichen Microsoft-Produkten (z.B. Office, Project, Money, BizTalk, ...) ausgeliefert.

Betroffene Systeme

  • Microsoft Office Web Components 2000
  • Microsoft Office Web Components 2002
Die Microsoft Office Web Components sind Bestandteil von folgender Software:
  • Microsoft BackOffice Server 2000
  • Microsoft BizTalk Server 2000
  • Microsoft BizTalk Server 2002
  • Microsoft Commerce Server 2000
  • Microsoft Commerce Server 2002
  • Microsoft Internet Security and Acceleration Server 2000
  • Microsoft Money 2002
  • Microsoft Money 2003
  • Microsoft Office 2000
  • Microsoft Office XP
  • Microsoft Project 2002
  • Microsoft Project Server 2002
  • Microsoft Small Business Server 2000

Einfallstor

  1. Arglistige Webseite oder HTML-E-Mail bzw. Newsgruppenartikel
  2. Arglistige Webseite oder HTML-E-Mail bzw. Newsgruppenartikel
  3. Arglistige Webseite oder HTML-E-Mail bzw. Newsgruppenartikel

Auswirkung

  1. Ausführung von beliebigem Programmcode mit den Rechten des Benutzers
  2. Auslesen beliebiger Dateien (mit den Zugriffsrechten des Benutzers)
  3. Auslesen der Zwischenablage

Typ der Verwundbarkeit

  1. design flaw
  2. design flaw
  3. design flaw

Gefahrenpotential

  1. hoch bis sehr hoch
  2. mittel
  3. niedrig bis hoch (falls sensitive Daten wie Paßwörter in der Zwischenablage gespeichert werden -- dies kann auch automatisiert geschehen)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Die Office Web Components (OWC) beinhalten mehrere ActiveX Controls, die Benutzern begrenzte Funktionalität von Microsoft Office in einem Web-Browser zur Verfügung stellen.

Beschreibung

  1. Die Host()-Funktion erlaubt Programmen und Skripten Zugriff auf Objekte anderer Anwendungen. Da die Tabellenkalkulation von OWC die Host()-Funktion fehlerhafterweise zur Verfügung stellt, kann beim Betrachten von arglistigen Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebiger Programmcode mit den Privilegien des Anwenders ausgeführt werden.
  2. Die LoadText()-Funktion erlaubt es, Textdateien in eine Tabelle zu laden. Durch eine Schwachstelle in der Komponente von OWC, die die LoadText()-Funktion zur Verfügung stellt, können arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebige Dateien auslesen.
  3. Die Copy()/Paste()-Funktion in der Tabellenkalkulation-Komponente von OWC mißachtet die Deaktivierung in der Internet-Explorer-Einstellung "Allow paste operations via script", wodurch arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel die Zwischenablage auslesen können. Diese Schwachstelle ermöglicht es Angreifern, Text mitzulesen, der mit einigen PGP-Plugins verschlüsselt wird, die die Zwischenablage zur Datenübertragung verwenden.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.