Der Softwarekonzern Microsoft hat in dem neuen Security Bulletin MS02-044 über drei - bei Clientsystemen als kritisch eingestufte - Sicherheitslücken informiert. Bei der betroffenen Software handelt es sich um Office Web Komponenten 2000 sowie um die Office Web Komponenten 2002. Patch oder Service Pack installieren Benutzer betroffener Produkte sollten den bereitgestellten Patch umgehend auf betroffenen Systemen installieren. Microsoft empfiehlt Benutzern von Office XP die Installation des Office XP Service Pack 2 . Beschreibung des Problems Die Microsoft Office Web Komponenten (Office Web Components – OWC) enthalten verschiedene ActiveX Steuerelemente, die Benutzen die Möglichkeit geben, eingeschränkte Microsoft Office Funktionen innerhalb eines Webbrowsers zu nutzen, ohne die Microsoft Office Applikation installieren zu müssen. Dies erlaubt es Benutzen, Microsoft Office Applikationen zu nutzen, selbst wenn sich eine vollständige Installation nicht auszahlt oder unerwünscht ist. Über Webseite oder ein HTML E-Mail Die Steuerelemente enthalten drei Sicherheitsprobleme, wobei jedes dieser Probleme entweder über eine Webseite oder ein HTML E-Mail ausgenutzt werden kann. Die Probleme resultieren aus Implementationsfehlern in den folgenden Methoden und Funktionen, die die Steuerelemente bereitstellen: - Host(). Diese Funktion gibt dem Aufrufenden Zugriff auf Objektmodelle der Applikationen auf dem System des Benutzers. Unter Verwendung der Host() Funktion kann ein Angreifer zum Beispiel eine Office Applikation auf dem System des Benutzers starten, und dort Betriebssystembefehle im Sicherheitskontext des Benutzers ausführen. - LoadText(). Mit dieser Methode wird es einer Webseite erlaubt, Text im Browserfenster zu laden. Die Methode überprüft, ob die Quelle des Textes sich in derselben Domäne wie das Fenster befindet, und sollte es damit der Webseite theoretisch erlauben, ausschließlich Text zu laden, den Sie selbst hostet. Allerdings ist es möglich diese Einschränkung zu umgehen, indem eine Textquelle, die sich innerhalb der Webseiten-Domäne befindet angegeben wird, diese dann aber durch eine Server-seitige Umleitung auf eine Datei am System des Benutzers umgeleitet wird. Dies könnte es einem Angreifer erlauben, jede beliebige Datei auf dem System des Benutzers zu lesen. - Copy()/Paste(). Durch diese Methoden wird ein Kopieren und Einfügen von Text ermöglicht. Ein Sicherheitsproblem besteht, da diese Methode die Sicherheitseinstellung, die ein Kopieren und Einfügen von Text via Skript einschränkt missachtet. Dadurch kann es einer Webseite, auch wenn diese Einstellung vorgenommen wurde, weiterhin auf den Kopierpuffer zugreifen und dort Text auslesen, den der Benutzer in anderen Applikation kopiert oder ausgeschnitten hat. Kritisch für Clientsysteme Die Probleme die von dem bereitgestellten Patch behoben werden, werden für Internet und Intranet Server als durchschnittlich eingestuft, Endsysteme (Clientsysteme) werden als kritisch betroffen eingestuft.