Die Office Web Components (OWC) beinhalten mehrere ActiveX Controls die Schwachstellen aufweisen. Die OWC werden mit zahlreichen Microsoft-Produkten (z.B. Office, Project, Money, BizTalk, ...) ausgeliefert.

Betroffene Systeme

• Microsoft Office Web Components 2000
• Microsoft Office Web Components 2002

• Microsoft BackOffice Server 2000
• Microsoft BizTalk Server 2000
• Microsoft BizTalk Server 2002
• Microsoft Commerce Server 2000
• Microsoft Commerce Server 2002
• Microsoft Internet Security and Acceleration Server 2000
• Microsoft Money 2002
• Microsoft Money 2003
• Microsoft Office 2000
• Microsoft Office XP
• Microsoft Project 2002
• Microsoft Project Server 2002
• Microsoft Small Business Server 2000

Einfallstor

1. Arglistige Webseite oder HTML-E-Mail bzw. Newsgruppenartikel
2. Arglistige Webseite oder HTML-E-Mail bzw. Newsgruppenartikel
3. Arglistige Webseite oder HTML-E-Mail bzw. Newsgruppenartikel

Auswirkung

1. Ausführung von beliebigem Programmcode mit den Rechten des Benutzers
2. Auslesen beliebiger Dateien (mit den Zugriffsrechten des Benutzers)
3. Auslesen der Zwischenablage

Typ der Verwundbarkeit

1. design flaw
2. design flaw
3. design flaw

Gefahrenpotential

1. hoch bis sehr hoch
2. mittel
3. niedrig bis hoch (falls sensitive Daten wie Paßwörter in der Zwischenablage gespeichert werden -- dies kann auch automatisiert geschehen)

Kontext
Die Office Web Components (OWC) beinhalten mehrere ActiveX Controls, die Benutzern begrenzte Funktionalität von Microsoft Office in einem Web-Browser zur Verfügung stellen.

Beschreibung

1. Die Host()-Funktion erlaubt Programmen und Skripten Zugriff auf Objekte anderer Anwendungen. Da die Tabellenkalkulation von OWC die Host()-Funktion fehlerhafterweise zur Verfügung stellt, kann beim Betrachten von arglistigen Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebiger Programmcode mit den Privilegien des Anwenders ausgeführt werden.
2. Die LoadText()-Funktion erlaubt es, Textdateien in eine Tabelle zu laden. Durch eine Schwachstelle in der Komponente von OWC, die die LoadText()-Funktion zur Verfügung stellt, können arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebige Dateien auslesen.
3. Die Copy()/Paste()-Funktion in der Tabellenkalkulation-Komponente von OWC mißachtet die Deaktivierung in der Internet-Explorer-Einstellung "Allow paste operations via script", wodurch arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel die Zwischenablage auslesen können. Diese Schwachstelle ermöglicht es Angreifern, Text mitzulesen, der mit einigen PGP-Plugins verschlüsselt wird, die die Zwischenablage zur Datenübertragung verwenden.

Gegenmaßnahmen

• Office XP
  Update auf Office XP SP2 über die Office Product Updates-Seite bzw. über den Mirror auf dem FTP-Server der Universität Stuttgart unter: http://ftp.uni-stuttgart.de/pub/security/patches/Microsoft_Office/service-packs/officexp/.
• Microsoft Project 2002
  http://office.microsoft.com/downloads/2002/prj1001.aspx
• Microsoft Project Server 2002
  http://office.microsoft.com/downloads/2002/ps1001en.aspx
• Genereller Patch (für alle anderen Produkte)
  http://support.microsoft.com/default.aspx?scid=kb;%5bLN%5d;Q322382
  bzw. über den Mirror auf dem FTP-Server der Universität Stuttgart: http://ftp.uni-stuttgart.de/pub/security/patches/Microsoft_Office/security-bulletins/owc/
• Office Web Components Download
  http://office.microsoft.com/downloads/2002/owc10.aspx

Vulnerability ID

• CAN-2002-0727 Host() Vulnerability
• CAN-2002-0860 LoadText() Vulnerability
• CAN-2002-0861 Copy()/Paste() Vulnerability

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-044 Unsafe Functions in Office Web Components (Q328130)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/