Internet & Webdienste

11.12.2005 18:27

eBay: Nutzer wollte MS-Excel-Exploit versteigern

Laut Informationen des Newsportals eWeek wollte ein Nutzer des Internetauktionshauses eBay einen Exploit zu einer Sicherheitslücke in Microsoft Excel versteigern. Dabei sollte die Vernachlässigung seitens Microsoft, die gemeldeten Sicherheitslücken in seinen Produkten zu spät zu schließen, demonstriert werden.

Das Höchstgebot der Auktion soll bereits 53 US-Dollar betragen haben, ehe eBay das Angebot auf Anordnung von Microsoft stoppte. Der Nutzer fearwall, der die Auktion ins Leben rief, gab in der Artikelbeschreibung einige interessante Zusatzinformationen an: Die Schwachstelle soll bereits am 6. Dezember an Microsoft übermittelt worden sein. Die Redmonder hätten diese zwar bestätigt, bislang aber noch keinen Patch zur Verfügung gestellt, da davon noch keine Anwender betroffen wären.

Ein manipuliertes Excel-Dokument könnte alleine durch dessen Ausführung schadhaften Code auf dem Rechner ausführen. Verantwortlich dafür sei nach seinen Informationen die Funktion msvcrt.memmove(). Sobald ihr ein zu großer Wert zugewiesen würde, verursache sie einen Pufferüberlauf.

Mitarbeitern von Microsoft hätte der Nutzer fearwall den Exploit sogar ermäßigt überlassen: Einzige Voraussetzung hierfür wäre gewesen, dass der Microsoft-Angestellte seine Mail-Adresse des Servers microsoft.com und den Gutscheincode LINUXRULZ öffentlich bei der Auktion angegeben hätte, wozu es natürlich nicht gekommen ist.

Valentin Hauner

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

Der Sinn des ganzen? Wenn sich etwas bewegen soll, ist eBay wirklich die falsche Anlaufstelle.

[o2] am

Den letzten Absatz versteh ich nicht. Soll das heißen das fearwall die Information von MS höchstpersönlich bekommen hat in dem er seine email adresse und den Gutscheincode angegeben hat

[re:1] am

@ajzr: geht mir auch so, ich peile den letzten Abschnitt auch nicht!

[re:2] am

@ajzr: Nein, er hat MS angeboten ihnen das Exploit "ermässigt" zu überlassen sofern sie seinen ihnen übermittelten "Gutschein" einlösen (indem sie den Code ins Netz stellen). Der Gutscheincode war LINUXRULZ. Vieleicht etwas verwirrend geschrieben das ganze.

Bearbeitet am 11.12.05 um 18:45 Uhr.

[re:3] am

(+1)

@ajzr: Nein, der Exploit sollte "versteigert" werden. Und wenn sich ein Microsoft-Mitarbeiter mit seiner E-Mail-Adresse und diesem Rabatt-Code im Internet ausgewiesen hätte, hätte er den Exploit zu einem "ermäßigten Preis" bekommen, was natürlich niemand gemacht hat und auch nicht machen würde. Das soll also quasi ein weiterer Scherz dieses Nutzers sein.

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?