Angriff auf ungepatchte Lücke in Excel

Die von Microsoft unter der Nummer 947563 veröffentlichte Sicherheitswarnung berichtet bisher nur von zielgerichteten Angriffen. Das Risiko für die Anwender hat Microsoft als begrenzt eingestuft, da das Problem bisher nicht öffentlich bekannt gemacht wurde.

Betroffen sind Microsoft Office Excel 2003 mit installiertem Service Pack 2, der Excel Viewer 2003, Microsoft Office Excel 2002 (XP) und 2000 sowie Excel 2004 für Mac. Nach ersten Untersuchungen der Softwareschmiede sind die aktuellsten Excel-Versionen, also Excel 2007 für Windows und Excel 2008 für Mac sowie Office 2003 mit Service Pack 3 immun gegen die gemeldeten Angriffe.

Der Angriff an sich kann über E-Mails mit angehängten Excel-Dokumenten erfolgen oder mit Hilfe von Excel-Dateien, die in Webseiten eingebettet sind. Im ersten Fall wäre immer eine Aktion des Anwenders notwendig, um den Dateianhang zu starten. Microsoft warnt in diesem Zusammenhang auch vor Webseiten, die von Nutzern erstellte Dateien enthalten, als mögliche Quelle eines Angriffes.

Im Falle eines erfolgreichen Angriffes kann auf einem ungepatchten System Schadcode mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Ein Update ist bisher nicht verfügbar. Angaben für einen möglichen Veröffentlichungstermin hat Microsoft bisher nicht gemacht. Man werde das Update entweder im Rahmen der monatlichen Updates oder bei Bedarf auch außer der Reihe veröffentlichen.

Die angebotenen Workarounds, die nur für Office 2003 zur Verfügung stehen, dürften auf wenig Gegenliebe treffen. Während der erste Workaround die Konvertierung aller Office-Dokumente in das Open-XML-Format von Office 2007 notwendig macht, schließt der zweite Workaround alle Excel-Dokumente von der Nutzung durch Office-Programme aus.

Nutzern von Excel 2002 und 2000, die auf keinen Workaround zurückgreifen können, rät Microsoft zu äußerster Vorsicht beim Öffnen von Excel-Dateien aus bekannten oder unbekannten Quellen.