Microsoft stellt einen Sammelpatch für Microsoft Office, den Internet Explorer und Outlook für Macintosh zur Verfügung. Der Sammelpatch behebt auch zwei bislang nicht veröffentlichte Sicherheitslücken.

Betroffene Systeme

• Microsoft Internet Explorer 5.1 für Macintosh OS X
• Microsoft Internet Explorer 5.1 für Macintosh OS 8 & 9
• Microsoft Outlook Express 5.0.-5.0.3 für Macintosh
• Microsoft Entourage v. X für Macintosh
• Microsoft Entourage 2001 für Macintosh
• Microsoft PowerPoint v. X für Macintosh
• Microsoft PowerPoint 2001 für Macintosh
• Microsoft PowerPoint 98 für Macintosh
• Microsoft Excel v. X für Macintosh
• Microsoft Excel 2001 für Macintosh

Einfallstor

1. Arglistige Webseite oder HTML-E-Mail bzw. in Office-Dokumente eingebettete Webseiten
2. Arglistige Webseite

Auswirkung

1. Ausführung beliebigen Programmcodes mit den Privilegien des Benutzers.
2. Ausführung beliebiger AppleScripten mit den Privilegien des die arglistige Webseite betrachtenden Benutzers

Typ der Verwundbarkeit
design flaw

Gefahrenpotential

1. hoch
2. mittel

Beschreibung
Der Sammelpatch von Microsoft beinhaltet nach Angaben von Microsoft alle bisherigen Sicherheitsupdates für den Internet Explorer 5.1 und Office v. X für Macintosh. Ferner beseitigt dieser Patch zwei bislang nicht veröffentlichte Sicherheitslücken:

1. Durch eine Pufferüberlauf-Schwachstelle bei der Verarbeitung von HTML-Elementen können arglistige Webseiten, HTML-E-Mails bzw. Office-Dokumente (mit eingebetteten Webseiten) beliebigen Programmcode mit den Privilegien des die Webseite/E-Mail/Office-Dokument betrachtenden Benutzers ausführen.
2. Durch eine Schwachstelle bei der Ausführung von AppleScript über HTML-Elemente sind arglistige Webseiten in der Lage, beliebige bereits auf dem System vorhandene AppleScripten auszuführen. Von dieser Schwachstelle ist der IE auf Mac OS 8 & 9 nicht jedoch Mac OS X betroffen. Über die Standard-AppleScripten können beispielsweise Systemkonfigurationen verändert werden.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

• Microsoft IE 5.1 für Mac OSX: Benutzer müssen die Software Update Funktion von Mac OS X v10.1 zur Installation des "Internet Explorer 5.1 Security Update" einsetzen.
  Weitere Information zum Software-Update ist über: http://www.apple.com/macosx/upgrade/softwareupdates.html verfügbar.
• Alle weiteren Produkte: http://www.microsoft.com/mac/download
• Microsoft PowerPoint 98 für Macintosh:
  Der Patch steht derzeit noch nicht zur Verfügung, ist nach Angaben von Microsoft aber in Entstehung.

Vulnerability ID

• CAN-2002-0152 Unchecked Buffer in HTML Element
• CAN-2002-0153 Local AppleScript Invocation

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-019 Unchecked Buffer in Internet Explorer and Office for Mac Can Cause Code to Execute

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/