Wie schwach ist Excel wirklich?

Vor einigen Tagen haben Mitarbeiter von Microsoft zunächst in einem Technet-Blog die Entdeckung einer neuen, bislang unbekannten Schwäche in Microsoft Excel angekündigt, die die Ausführung von beliebigem Code erlaubt, wenn eine Excel-Datei vom Opfer geöffnet wird. Offensichtlich wurde entsprechender Exploit-Code bereits genutzt, um einen Trojaner in einer nicht näher benannten Firma zu installieren.

Das inzwischen erschienene offizielle Microsoft-Advisory enthält leider immer noch zu wenig Information, ein Patch wird womöglich erst zum nächsten Patchday mitte Juli erscheinen. Microsoft weist darauf hin, dass das Problem nicht beunruhigen müsste, weil bislang nur ein einziger Fall bekannt sei. Dem entgegen erschien am 3. Juli auf Bugtraq ein Posting mit einem Link auf einen Proof-of-Concept für genau dieses Problem. Wenn der Patch nicht außerhalb des Patchday-Zyklus herausgegeben wird, droht ein ähnliches Desaster wie Anfang des Jahres mit der WMF-Schwäche, bei der der Patch von Microsoft trotz kursierenden Würmern und Exploits über Wochen fast bis zum Patchday nicht freigegeben wurde.

Juha-Matti Lauro veröffentlichte auf den Webseiten von Secunia eine FAQ zu diesem Thema und das MITRE hat die CVE-Nummer CVE-2006-3059 zugewiesen. Dieses Problem scheint jedoch nicht mit einem im Dezember letzten Jahres bekannt gewordenen Excel-Problem verwandt zu sein, welches Schlagzeilen machte, weil es zum Verkauf bei eBay angeboten wurde.

Eine weitere Schwachstelle gibt es offenbar bei der URL-Verarbeitung in der hlink.dll, für die ein Exploit in Form eines Excel-Worksheets existiert. Dieses Problem erhielt CVE-2006-3086 und braucht für die Ausnutzung das Anklicken eines speziell präparierten Links in einer Excel-Datei. Es ist ebenfalls noch ungepatcht und hat noch kein Microsoft-Advisory.