Sicherheitsbulletin

Microsoft Security Bulletin MS00-049 – Kritisch

Patches für Sicherheitsanfälligkeiten in Office-HTML-Skripts und "IE-Skripts" verfügbar

Veröffentlicht: 13. Juli 2000 | Aktualisiert: 18. Mai 2003

Version: 1.3

Ursprünglich gepostet: 13. Juli 2000
Aktualisiert: 18. Mai 2003

Zusammenfassung

Am 13. Juli 2000 veröffentlichte Microsoft die originale Version dieses Bulletins. Es wurde ein Patch bereitgestellt, um eine Sicherheitslücke in Microsoft® Office 2000 und PowerPoint 97 zu beseitigen, und eine Problemumgehung zum Schutz vor einer Sicherheitsanfälligkeit in Internet Explorer. Am 09. August 2000 wurde das Bulletin erneut veröffentlicht, um die Verfügbarkeit eines Patches für die Sicherheitsanfälligkeit in Internet Explorer bekanntzugeben.

Die Auswirkungen beider Sicherheitsrisiken sind identisch - sie könnten einem böswilligen Websiteoperator erlauben, Code seiner Wahl auf dem Computer eines besuchten Benutzers auszuführen.

Betroffene Software: Die Sicherheitsanfälligkeit in Office-HTML-Skripts wirkt sich auf die folgenden Office-Produkte aus, wenn sie in Verbindung mit Internet Explorer 4.x oder 5.x verwendet werden:

  • Microsoft Excel 2000
  • Microsoft PowerPoint 2000
  • Microsoft PowerPoint 97

Die Sicherheitsanfälligkeit in IE-Skripts wirkt sich auf Internet Explorer 4.01 SP2 und höher aus, wenn Microsoft Access 97 oder Access 2000 auf dem Benutzercomputer vorhanden ist.

Sicherheitslücken-IDs

Allgemeine Informationen

Technische Details

Technische Beschreibung:

Zwei Sicherheitsrisiken wurden kürzlich entdeckt, eine, die Sich auf Microsoft Office 2000 und PowerPoint 97 auswirkt, und die andere, die Internet Explorer 4.01 Service Pack 2 und höher beeinflussen. Obwohl sie unterschiedliche Produkte betreffen, sind die Auswirkungen, Risiken und Exploit-Szenarien identisch. Daher haben wir uns entschieden, sie im selben Bulletin zu diskutieren. Die Sicherheitsanfälligkeiten sind:

  • Die Sicherheitsanfälligkeit "Office-Skript". Diese Sicherheitsanfälligkeit könnte zulassen, dass skript, das auf der Website eines böswilligen Benutzers gehostet wird, eine Excel 2000-, Powerpoint 2000- oder Powerpoint 97-Datei auf dem Computer eines besuchten Benutzers speichern kann. Je nachdem, wo und wie die Datei auf dem Computer des Benutzers gespeichert wurde, kann sie automatisch gestartet werden. Wenn dies geschehen ist, können Makro- oder VBA-Code ausgeführt werden.
  • Die Sicherheitsanfälligkeit in "IE Script" . Diese Sicherheitsanfälligkeit könnte zulassen, dass skript, das auf der Website eines böswilligen Benutzers gehostet wird, auf eine Microsoft Access-Datei auf der Website verweist. Die Access-Datei kann wiederum beim Öffnen dazu führen, dass Makro- oder VBA-Code ausgeführt wird.

Häufig gestellte Fragen

Worum geht es in diesem Bulletin?
Microsoft Security Bulletin MS00-049 kündigt die Verfügbarkeit eines Patches an, das eine Sicherheitsanfälligkeit in Microsoft® Office 2000 (Excel und PowerPoint) und PowerPoint 97 beseitigt. Microsoft ist bestrebt, die Informationen von Kunden zu schützen, und stellt das Bulletin bereit, um Kunden über die Sicherheitsanfälligkeit und ihre Möglichkeiten zu informieren.

Was ist der Umfang der Sicherheitsanfälligkeit in Office-HTML-Skripts?
Die Sicherheitsanfälligkeit in Office-Skript ermöglicht das Speichern einer Datei auf der lokalen Festplatte eines Benutzers, wenn der Benutzer eine Webseite anzeigt, die Skriptcode enthält, der auf eine Excel 2000- oder PowerPoint-Datei verweist. Durch die sorgfältige Auswahl des Formats und des Speicherorts, in dem die Datei gespeichert wurde, könnte ein böswilliger Websiteoperator dazu führen, dass die Datei zu einem späteren Zeitpunkt automatisch geöffnet wird. Wenn dies der Fall ist, würde jeder Code in der Datei ausgeführt.

Was verursacht die Sicherheitsanfälligkeit in Office-HTML-Skripts?
Wenn eine schädliche Webseite ein Skript enthält, das auf ein remote gehostetes Excel- oder PowerPoint-Objekt verweist, kann dieses Objekt eine Funktion in VBA (SaveAs) aufrufen, um eine Datei auf der lokalen Festplatte eines Gastbenutzers zu speichern. Dieses Problem betrifft nur PowerPoint 97-, Powerpoint 2000- und Excel 2000-Dateien. Benutzer, die andere Office-Produkte ausführen, sind davon nicht betroffen.

Auf welchen Skriptcode verweisen wir in diesen Sicherheitsrisiken?
Eine HTML-Datei kann Skriptcode enthalten, der ausgeführt wird, wenn von Internet Explorer oder über einen Link in einer E-Mail auf die HTML-Datei verwiesen wird. Angenommen, Sie haben diese URL besucht: www.fooexamplesite.com/start.html. Ein Beispiel für Skriptcode in "start.html" kann wie unten dargestellt angezeigt werden.

<html>
.....
<script>
function foo()
{
description of function;
}
</script>
</html>

Was ist der Unterschied zwischen VBA- und Skriptcode im obigen Beispiel?
Microsoft Visual Basic für Applikationen (VBA) ist die Entwicklungsumgebung und Makrosprache, die im Rahmen von Microsoft Office enthalten ist. Ein Beispiel für spezifischen Skriptcode, der auf Websites verwendet wird, ist Microsoft Visual Basic Scripting Edition (VBScript). VBScript ist eine Teilmenge der Microsoft Visual Basic-Sprache. VBScript wird in Internet Explorer und anderen Anwendungen implementiert, die ActiveX-Steuerelemente und Java-Applets verwenden.

Könnte diese Sicherheitsanfälligkeit per E-Mail ausgenutzt werden?
Ja. Das hier in Rede stehende Skript könnte in eine HTML-E-Mail eingeschlossen werden. Beim Öffnen kann das Skript auf eine Excel- oder PowerPoint-Datei auf der Website des Absenders verweisen.

Würde das Outlook-E-Mail-Sicherheitsupdate mich vor der mailborne-Version dieser Sicherheitsanfälligkeit schützen?
Ja. Das Outlook-E-Mail-Sicherheitsupdate bewirkt, dass alle HTML-E-Mails in der eingeschränkten Zone geöffnet werden und active Scripting- und ActiveX-Steuerelemente in dieser Zone deaktiviert werden.

Wer sollte den Office-HTML-Skriptpatch verwenden?
Microsoft empfiehlt, dass alle Benutzer der betroffenen Versionen von Microsoft Office den Patch für diese Sicherheitsanfälligkeit installieren.

Was geschieht mit dem Office-HTML-Skriptpatch?
Der Office-Patch beseitigt die Sicherheitsanfälligkeit, indem Excel 2000- und PowerPoint-Dateien als unsicher für Skripts markiert werden.

Wo erhalte ich den Office-HTML-Skriptpatch?
Der Downloadspeicherort für den Patch wird im Abschnitt "Patchverfügbarkeit" des Sicherheitsbulletins bereitgestellt. Ein alternativer Downloadspeicherort befindet sich auf der Microsoft Office-Website: Produktupdates

Wie verwende ich den Office HTML-Skriptpatch?
Artikel zur Microsoft Knowledge Base (KB): Q268365 (Excel 2000), Q268457 (PowerPoint 2000) und Q268477 (PowerPoint 97) enthält detaillierte Anweisungen zum Anwenden des Patches.

Wie kann ich feststellen, ob ich den Patch richtig installiert habe?
Artikel zur Microsoft Knowledge Base (KB): Q268365 (Excel 2000), Q268457 (PowerPoint 2000) und Q268477 (PowerPoint 97) stellt ein Manifest der Dateien im Office-Patchpaket bereit. Die einfachste Möglichkeit, zu überprüfen, ob Sie den Patch ordnungsgemäß installiert haben, besteht darin, sicherzustellen, dass diese Dateien auf Ihrem Computer vorhanden sind und dieselben Größen und Erstellungsdaten aufweisen, wie im KB-Artikel gezeigt.

Sicherheitsanfälligkeit in "IE-Skript"

Worum geht es in diesem Bulletin?
Microsoft Security Bulletin MS00-049 kündigt die Verfügbarkeit eines Patches an, das eine Sicherheitsanfälligkeit in Internet Explorer 4.01 SP2 und höher beseitigt. Microsoft ist bestrebt, die Informationen von Kunden zu schützen, und stellt das Bulletin bereit, um Kunden über die Sicherheitsanfälligkeit und ihre Möglichkeiten zu informieren.

Was ist der Umfang der Sicherheitsanfälligkeit in IE-Skripts?
Diese Sicherheitsanfälligkeit würde es einem böswilligen Benutzer ermöglichen, eine Access-Datei auf seiner Website zu hosten und dazu zu führen, dass sie auf dem Computer eines Benutzers geöffnet wird, der die Website besucht hat. Sobald dies geschehen ist, würde jeder Code in der Access-Datei, z. B. Makrocode oder VBA-Code, auf dem Computer des Besuchers ausgeführt werden.

Was verursacht die Sicherheitsanfälligkeit in IE-Skripts?
Internet Explorer ermöglicht die Ausführung einer remote oder lokal gehosteten Microsoft Access-Datenbank, auf die von einer Webseite mit Skriptcode verwiesen wird. Microsoft Access-Dateien werden standardmäßig als unsicher für skripting behandelt. Ein bestimmtes Skripttag kann jedoch verwendet werden, um auf eine Access-Datei (.mdb) zu verweisen und VBA-Makrocode auszuführen, auch wenn skripting in Internet Explorer deaktiviert wurde.

Was ist das "bestimmte Skripttag", das die IE-Sicherheitsanfälligkeit verursacht?
Es gibt ein <OBJECT-Skripttag> , das die Ausführung von Microsoft Access-Dateien verursacht, wenn auf eine skriptierte Webseite verwiesen wird. Standardmäßig sind Microsoft Access-Dateien für Skripts als unsicher gekennzeichnet, dies ermöglicht jedoch die Ausführung, unabhängig von den Browsereinstellungen des Benutzers.

Die ursprüngliche Version dieses Bulletins hat eine Problemumgehung bereitgestellt, die das Festlegen eines Administratorkennworts in Access umfasste. Nachdem ein Patch vorhanden ist, kann ich das Administratorkennwort entfernen?
Ja. Möglicherweise möchten Sie das Administratorkennwort für andere Zwecke beibehalten, aber es ist nicht als Schutzmaßnahme gegen diese Sicherheitsanfälligkeit erforderlich, sobald der Patch installiert wurde.

Wenn ich den Patch für die Sicherheitsanfälligkeit in Office-HTML-Skript installiert habe, muss ich weiterhin den Patch für die Sicherheitsanfälligkeit "IE-Skript" anwenden?
Die beiden Sicherheitsrisiken sind vollständig voneinander getrennt, und Sie müssen jeweils die entsprechenden Maßnahmen ergreifen. Wenn Sie eine Version von IE verwenden, die 4.01 SP2 oder höher ist, empfehlen wir, diesen neuen Patch anzuwenden. Wenn Sie auch die betroffenen Office-Produkte installiert haben, empfehlen wir, beide Patches anzuwenden.

Wer sollte den IE-Skriptpatch verwenden?
Microsoft empfiehlt allen Benutzern der betroffenen Versionen von Internet Explorer, diesen Patch zu installieren.

Was geschieht mit dem IE-Skriptpatch?
Der Patch entfernt die <Sicherheitsanfälligkeit des OBJECT-Tags> von IE, wenn er auf eine Microsoft Access-Datei verweist.

Wo erhalte ich den IE-Skriptpatch?
Der Downloadspeicherort für den Patch wird im Abschnitt "Patchverfügbarkeit" des Sicherheitsbulletins bereitgestellt.

Anmerkung: Der Patch für die Sicherheitsanfälligkeit im IE-Skript beseitigt auch eine Reihe anderer Sicherheitsrisiken. Weitere Informationen finden Sie im Microsoft Security Bulletin MS00-055 .

Wie verwende ich den IE-Skriptpatch?
Microsoft Knowledge Base (KB)-Artikel Q269368 (in Kürze verfügbar) enthält detaillierte Anweisungen zum Anwenden des Patches.

Wie kann ich feststellen, ob ich den Patch richtig installiert habe?
Microsoft Knowledge Base (KB)-Artikel Q269368 (in Kürze verfügbar) stellt ein Manifest der Dateien im IE-Patchpaket bereit. Die einfachste Möglichkeit, zu überprüfen, ob Sie den Patch ordnungsgemäß installiert haben, besteht darin, sicherzustellen, dass diese Dateien auf Ihrem Computer vorhanden sind und dieselben Größen und Erstellungsdaten aufweisen, wie im KB-Artikel gezeigt.

Was unternimmt Microsoft gegen diese Probleme?

  • Microsoft hat ein Verfahren entwickelt, das die Sicherheitsanfälligkeit beseitigt.

  • Microsoft hat ein Sicherheitsbulletin und diese FAQ bereitgestellt, um Kunden ein detailliertes Verständnis der Sicherheitsanfälligkeit und des Verfahrens zur Beseitigung zu bieten.

  • Microsoft hat Kopien des Sicherheitsbulletins an alle Abonnenten des Microsoft Product Security Notification Service gesendet, einen kostenlosen E-Mail-Dienst, den Kunden verwenden können, um mit Microsoft-Sicherheitsbulletins auf dem neuesten Stand zu bleiben.

  • Artikel zur Microsoft Knowledge Base (KB)

    Q268365 (Excel 2000), Q268457 (PowerPoint 2000) und Q268477 (PowerPoint 97) erläutert die Sicherheitsanfälligkeit "Office-HTML-Skript" ausführlicher.

  • Der Knowledge Base (KB)-Artikel Q269368, der die Sicherheitsanfälligkeit des IE-Skripts ausführlicher erklärt, wird in Kürze verfügbar sein.

Wo erhalte ich weitere Informationen zu bewährten Methoden für die Sicherheit?
Die Microsoft TechNet Security-Website ist der beste Ort, um Informationen zur Microsoft-Sicherheit zu erhalten.

Wie erhalte ich technischen Support für dieses Problem?
Microsoft-Produktsupportdienstekönnen Unterstützung bei diesem oder einem anderen Produktsupportproblem bereitstellen.

Patch-Verfügbarkeit

Downloadspeicherorte für diesen Patch Sicherheitsanfälligkeit in Office-HTML-Skripts:

Sicherheitsanfälligkeit in IE-Skript:

  • </https:>

    Anmerkung: Der Patch für die Sicherheitsanfälligkeit im IE-Skript beseitigt auch eine Reihe anderer Sicherheitsrisiken. Weitere Informationen finden Sie im Microsoft Security Bulletin MS00-055 .

Weitere Informationen zu diesem Patch

Installationsplattformen: Weitere Informationen zu diesem Problem finden Sie in den folgenden Referenzen.

Weitere Informationen:

Unterstützen: Dies ist ein vollständig unterstützter Patch. Informationen zum Kontaktieren von Microsoft-Produktsupportdiensten finden Sie unter </https:>https:.

Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Verzichtserklärung:

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • V1.0 (13. Juli 2000): Bulletin erstellt.
  • V1.1 (09. August 2000): Bulletin aktualisiert, um die Verfügbarkeit eines Patches für die Sicherheitsanfälligkeit "IE Script" zu empfehlen.
  • V1.2 (28. Februar 2003) : Aktualisierter Link zu Outlook-Sicherheitsupdate in häufig gestellten Fragen
  • V1.3 (18. Mai 2003): Aktualisierte Links zu Downloadspeicherorten und zusätzlichen Informationen.

Gebaut am 2014-04-18T13:49:36Z-07:00</https:>

  • Last updated on