Fehler bei Feldfunktionen in Word und externen Aktualisierungen in Excel kann Offenlegung von Informationen ermöglichen

Dieser Artikel wurde zuvor veröffentlicht unter D330008
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
330008 MS02-059: Fehler bei Feldfunktionen in Word und externen Aktualisierungen in Excel kann Offenlegung von Informationen ermöglichen
Problembeschreibung
Microsoft Word and Microsoft Excel provide a mechanism through which data from one document can be inserted into, and updated in, another document. Dieser Mechanismus, der in Word als Feldfunktionen und in Excel als externe Aktualisierungen bezeichnet wird, kann automatisiert werden, um dem Benutzer die Anwendung zu erleichtern. Beispielsweise können Word-Feldfunktionen verwendet werden, um einen Absatz mit einer Standard-Verzichtserklärung in ein Rechtsdokument einzufügen. Externe Aktualisierungen in Excel können verwendet werden, um ein Diagramm in einer Kalkulationstabelle mit Daten aus einer anderen Kalkulationstabelle automatisch zu aktualisieren.

Es ist jedoch möglich, Feldfunktionen und externe Aktualisierungen mit böswilliger Absicht zu verwenden, um unbemerkt an Informationen eines anderen Benutzers zu gelangen. Bestimmte Ereignisse können eine Aktualisierung von Feldfunktionen oder externen Aktualisierungen verursachen, beispielsweise das Speichern eines Dokuments oder das manuelle Aktualisieren von Verknüpfungen. Normalerweise bemerkt der Benutzer, wenn diese Aktualisierungen stattfinden. Über eine speziell entwickelte Feldfunktion oder externe Aktualisierung ist es jedoch möglich, eine Aktualisierung auszulösen, die der Benutzer nicht bemerkt. Dies kann einem Angreifer die Erstellung eines Dokuments ermöglichen, das sich beim Öffnen selbst aktualisiert und dabei den Inhalt einer Datei vom lokalen Computer des Benutzers aufnimmt.

Damit ein Angreifer diese Anfälligkeit ausnutzen kann, muss er Folgendes tun:
  1. Ein Word- oder Excel-Dokument erstellen, das diese Anfälligkeit ausnutzt.
  2. Das Dokument per E-Mail oder über eine andere Methode an den Benutzer übermitteln.
  3. Den Benutzer dazu bewegen, das Dokument zu öffnen.
Anschließend muss der Benutzer normalerweise das Dokument an den Angreifer zurücksenden, damit der Angriff erfolgreich ist.

Microsoft ist jedoch ein Fall bekannt, in dem der Benutzer das Dokument nicht einmal zurücksenden muss. Mit der in diesem Fall verwendeten Methode kann das Dokument des Angreifers Informationen direkt an eine Website übermitteln, wobei allerdings nur die erste Zeile der Datei gesendet werden kann.
Lösung

Word 2002

Installieren Sie den Word 2002-Patch, wenn Sie mit Word 2002 arbeiten. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
329748 Überblick über das Word 2002 SP-2-Update: 16.10.02
Zurück zum Anfang

Excel 2002

Installieren Sie den Excel 2002-Patch, wenn Sie mit Excel 2002 arbeiten. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
329750 XL2002: Überblick über das Excel 2002 SR-2-Update: 16.10.02
Zurück zum Anfang

Word 2000

Installieren Sie den Word 2002-Patch, wenn Sie mit Word 2000 arbeiten. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
329749 WD2000: Überblick über das Word 2000 SR-1-Update: 16.10.02
Zurück zum Anfang

Word 97 und japanische Version von Word 98 für Windows

Wenden Sie den Patch für Word 97 bzw. die japanische Version von Word 98 für Windows an, wenn Sie mit Word 97 oder der japanischen Version von Word 98 für Windows arbeiten. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
330080 WD97: Word 97 ist durch Sicherheitsprobleme gefährdet, die im MS02-059 dokumentiert sind
Zurück zum Anfang

Word X für Mac, Word 2001 für Macintosh, Word 98 Macintosh Edition

Informationen dazu, wie Sie Patches für die Macintosh-Versionen von Microsoft Word erhalten können, finden Sie auf folgender Website von Microsoft: Zurück zum Anfang
Status
Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang eine Sicherheitsanfälligkeit bei den Microsoft-Produkten zur Folge haben kann, die in diesem Artikel aufgeführt sind.
Weitere Informationen
Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie auf folgender Website von Microsoft:
security_patch MS02-059:
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 330008 – Letzte Überarbeitung: 02/26/2014 20:59:17 – Revision: 6.6

  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X für Macintosh
  • Microsoft Word 2001 für Macintosh
  • Microsoft Word 98 für Macintosh
  • Microsoft Word 98 Standard Edition
  • kbnosurvey kbarchive kbqfe kbhotfixserver kbfield kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Feedback