Meldung Nr: RUS-CERT-503

[MS/Excel, Powerpoint] Makro-Ausführung läßt sich nicht deaktivieren
(2001-10-08 12:32:16+02)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00040.html

Durch geeignet konstruierte Dateien kann die Makro-Erkennung von Microsoft Excel und PowerPoint umgangen werden, wodurch unbeabsichtigt Dateien mit böswilligen Makros geöffnet werden können.

Betroffene Systeme
Systeme, die eines oder mehrere der folgenden Microsoft-Programme verwenden:

• Microsoft Excel 97, 98, 2000, 2001, 2002
• Microsoft PowerPoint 97, 98, 2000, 2001, 2002

Symantec bezeichnet auch die jeweiligen 97-Versionen als verwundbar, Microsoft hingegen nur indirekt (und hält den dort implementierten Schutz vor Makros für generell unsicher). Die Versionen 98 bzw. 2001 sind MacOS-Versionen, der Rest Windows-Versionen.

Einfallstor
Öffnen von entsprechend präparierten Excel- oder PowerPoint-Dateien.

Auswirkung
Ausführung beliebiger Makros und dadurch Kompromittierung des entsprechenden Benutzer-Accounts (und möglicherweise mittelbar oder unmittelbar des gesamten Systems).

Typ der Verwundbarkeit
Sicherheitsüberprüfung und tatsächliche Verarbeitung werden von unterschiedlichen Parsern vorgenommen.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die neueren Versionen von Microsoft Excel und PowerPoint besitzen eine Sicherheitsfunktion, die verhindern soll, daß der Benutzer durch das Öffnen von Dokumenten unabsichtlich Makros ausführt. Diese Funktion wird offenbar so implementiert, daß beim Öffnen überprüft wird, ob das Dokument Makros enthält. Offenbar wird hierfür aber nicht derselbe Programmcode verwendet, der die reguläre Ausführung von Makros implementiert: Die Sicherheitsüberprüfung erkennt im Gegensatz zur eigentlichen Makroausführung einige Makros nicht. Dadurch ist es möglich, die Sicherung gegen die Makroausführung zu umgehen.

Gegenmaßnahmen

• Einspielen der Updates von Microsoft.

Microsoft wird für 97-Versionen ihrer Programme vermutlich keine Patches zur Verfügung stellen, da diese Versionen offiziell nicht mehr unterstützt werden.

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS01-050
• CERT/CC Advisory CA-2001-28

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

---

http://cert.uni-stuttgart.de/ticker/article.php?mid=503