Kritische Excel-Lücken bleiben vorerst ungepatcht

Am Dienstag, dem allmonatlichen Patch-Day, hat Microsoft wieder einmal eine Reihe von Sicherheits-Updates für einige seiner Produkte veröffentlicht. Besonderes Augenmerk lag in diesem Monat auf den verschiedenen Komponenten des Büro-Pakets Office. Vor allem die Tabellenkalkulation Excel stand im Mittelpunkt. Zwar wurden mit MS06-37 acht Lücken geschlossen, die teilweise als schwerwiegend eingestuft wurden, dennoch bleiben zwei kürzlich entdeckte kritische Schwachstellen weiterhin ungepatcht. Microsoft selbst warnt seine Kunden daher eindringlich davor, Dateien unbekannter Herkunft zu öffnen.

Eine der Lücken erlaubt über Excel einen Angriff auf das Host-System. Die Schwachstelle liegt in der Datei hlink.dll, es ist jedoch viel Interaktion des Anwenders vonnöten, um diese auszunutzen (wir berichteten). Seitens des Microsoft Security Response Centers (MSRC), welches für den Umgang mit neu entdeckten Sicherheitsproblemen zuständig ist, hieß es unterdessen, dass man eine Untersuchung eingeleitet habe.

Am Ende der Untersuchung sollen dann die entsprechenden Schritte eingeleitet werden, die nötig sind, um die betroffenen Kunden zu schützen. Die Lücke betrifft sowohl Windows XP mit Service Pack 2, als auch Office 2003 und Office XP (wir berichteten).

Bei der zweiten kritischen Schwachstelle handelt es sich um ein regional beschränktes Problem. Offenbar sind nur einige asiatische Versionen der Software betroffen. Auch in diesem Fall versprach das MSRC schnelle Abhilfe, schaffte es aber nicht mehr, rechtzeitig zum Patch-Day einen "Lückenfüller" bereitzustellen.