eBay: Nutzer wollte MS-Excel-Exploit versteigern

Laut Informationen des Newsportals eWeek wollte ein Nutzer des Internetauktionshauses eBay einen Exploit zu einer Sicherheitslücke in Microsoft Excel versteigern. Dabei sollte die Vernachlässigung seitens Microsoft, die gemeldeten Sicherheitslücken in seinen Produkten zu spät zu schließen, demonstriert werden. Das Höchstgebot der Auktion soll bereits 53 US-Dollar betragen haben, ehe eBay das Angebot auf Anordnung von Microsoft stoppte. Der Nutzer fearwall, der die Auktion ins Leben rief, gab in der Artikelbeschreibung einige interessante Zusatzinformationen an: Die Schwachstelle soll bereits am 6. Dezember an Microsoft übermittelt worden sein. Die Redmonder hätten diese zwar bestätigt, bislang aber noch keinen Patch zur Verfügung gestellt, da davon noch keine Anwender betroffen wären.

Ein manipuliertes Excel-Dokument könnte alleine durch dessen Ausführung schadhaften Code auf dem Rechner ausführen. Verantwortlich dafür sei nach seinen Informationen die Funktion msvcrt.memmove(). Sobald ihr ein zu großer Wert zugewiesen würde, verursache sie einen Pufferüberlauf.

Mitarbeitern von Microsoft hätte der Nutzer fearwall den Exploit sogar ermäßigt überlassen: Einzige Voraussetzung hierfür wäre gewesen, dass der Microsoft-Angestellte seine Mail-Adresse des Servers microsoft.com und den Gutscheincode LINUXRULZ öffentlich bei der Auktion angegeben hätte, wozu es natürlich nicht gekommen ist.