Eine Sicherheitslücke, die in Microsofts Spreadsheet-Programm
Excel vorhanden ist, war Gegenstand eines Auktionsangebots bei Ebay.
Das Gebot für den Exploit, eine Software zum Ausnutzen dieser
Sicherheitslücke, stand laut einem Bericht der EWeek bei 53
US-Dollar, als das Internet-Auktionshaus nach Intervention von Microsoft
die Versteigerung stoppte.
"Der Anbieter mit dem Pseudonym "fearwall" wollte
sich offenbar über den Software-Giganten lustig machen und
die zögerliche Behebung von Sicherheitsproblemen kritisieren.
Er offerierte Microsoft-Mitarbeitern einen "Spezialrabatt"
unter der Bedingung, dass sie sich durch Nennung ihrer offiziellen
Mailadresse "...@microsoft.com" und des Rabatt-Codes "LINUXRULZ"
bei ihm auswiesen. In der Beschreibung nannte er einige Details
der Sicherheitslücke und gab an, die Information sei Microsoft
bereits am 6. Dezember übermittelt worden. Danach soll sich
ein präpariertes Excel-Dokument zum Einschleusen und Ausführen
von Schadcode auf einem Windows-PC missbrauchen lassen. Dazu genüge
es, das Dokument mit Excel zu öffnen. Ursache der Sicherheitslücke
sei die Funktion msvcrt.memmove(), die bei zu großen Werten
einen Pufferüberlauf verursache und den Stack überschreibe.
Microsoft hat laut dem Bericht des Magazins bestätigt, dass
über Excel auf diese Weise Schadsoftware in einen Rechner eingeschleust
werden kann. Es seien aber noch keine Kunden davon betroffen worden.
Einen Patch gibt es noch nicht. "
(gh, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|