Excel-Sicherheitslücke ist ein Windows-Bug

Microsoft reagiert auf die Meldung einer zweiten kritischen Excel-Sicherheitslücke mit einer Klarstellung: Bei der über ein Internet-Posting von Proof-of-Concept-Code bekannt gewordenen Schwachstelle handle es sich nicht um eine Excel-Sicherheitslücke, sondern um eine Windows-Sicherheitsanfälligkeit, erklärte Microsoft in einem Blog-Eintrag im Microsoft Security Response Center (MSRC [Link entfernt] ). Die betroffene Bibliotheksdatei hlink.dll sei keine Excel-Datei, wie teilweise fälschlich berichtet worden war, sondern eine Windows-Komponente, die vom System bei der Verarbeitung von Hyperlinks benutzt wird. Microsoft betonte erneut, dass bislang noch keine Meldungen über die Ausnutzung der Schwachstelle vorlägen. Zudem müsse ein Nutzer, damit die Sicherheitsanfälligkeit ausgenutzt werden kann, eine präparierte Excel-Datei nicht nur öffnen, sondern er müsse zudem auf einen präparierten Link im Dokument klicken. Microsoft wiederholte die Warnung, nur Dokumente aus vertrauenswürdigen Quellen zu öffnen.

Excel-Flash-Schwachstelle aufgetaucht

Wohl zum Leidwesen der Microsoft-Sicherheitsexperten macht nun Meldung von einer dritten Sicherheitslücke in Excel die Runde: Über eine in eine Excel-Datei eingebettete präparierte Flash-Datei kann ein Angreifer beliebigen Code auf dem betroffenen System ausführen. Für die Ausnutzung dieser Sicherheitslücke genügt es, wenn der Nutzer eine infizierte Excel-Datei öffnet, eventuelle Malware startet dann ohne weitere Nutzer-Interaktionen. Die jetzt auf SecurityTracker gemeldete Schwachstelle scheint aber in Insider-Kreisen schon länger bekannt gewesen zu sein. SecurityTracker zufolge wurde die von Debasis Mohanty endeckte Schwachstelle schon Anfang Mai an Microsoft gemeldet, das Software-Unternehmen hat jedoch bislang noch keinen Patch für die Excel-Flash-Schwachstelle bereitgestellt.