[English]Zum 12. November 2024 hat Microsoft das Sicherheitsupdate KB5002653 für Microsoft Excel 2016 (MSI-Version) veröffentlicht, um diverse Schwachstellen zu schließen. Nach Installation des Updates lassen sich keine Add-Ins mehr laden.
Anzeige
Update KB5002653 für Microsoft Excel 2016
Ich habe es im Blog-Beitrag Patchday: Microsoft Office Updates (12. November 2024) kurz erwähnt. Für Microsoft Excel 2016 (MSI-Version) hat Microsoft zum 12. November 2024 das Sicherheitsupdate KB5002653 veröffentlicht.
Dieses Sicherheitsupdate dient dazu, die Remote Code Execution-Schwachstellen CVE-2024-49026 (Improper Neutralization of Special Elements used in a Command ('Command Injection')), CVE-2024-49027 (Use After Free, CVSS 3.1 Score 7.8), CVE-2024-49028 (Out-of-bounds Read), CVE-2024-49029 (Use of Uninitialized Resource) und CVE-2024-49030 (Heap-based Buffer Overflow) zu schließen. Alle die RCE-Schwachstellen wurden mit einem CVSS 3.1 Score von 7.8 als important bewertet.
Die Schwachstellen finden sich auch in den Click-2-Run-Varianten von Microsoft Excel und wurden dort mit den Updates vom 12. November 2024 geschlossen.
Excel 2016 kann keine Add-Ins mehr laden
Ein Blog-Leser hatte sich per Mail zum 13. November 2024 gemeldet und merkte an, dass bei ihm nach der Installation des Updates KB5002653 beim Start von Excel keine Addins mehr geladen werden (ich hatte es im Beitrag Patchday: Microsoft Office Updates (12. November 2024) erwähnt). Das scheint aber kein Einzelfall zu sein.
Anzeige
Analyse des Fehlers
In diesem Kommentar meldet Blog-Leser kheldorn den gleichen Fehler. Seit der Installation der Office Updates für Office 2016 bemerkt er ebenfalls Probleme mit dem Laden von Add-Ins. Der Leser hat in der Ereignisanzeige unter "Microsoft Office Alerts" unter "Applications and Services Logs" nachgesehen. Excel versucht beispielsweise die Datei:
"C:\Users\username\AppData\Roaming\Microsoft\AddIns\LASSIST.XLA"
zu laden, obwohl diese in Wirklichkeit "VLASSIST.XLA" benannt wurde. In der Ereignisanzeige finden sich Einträge der Art:
Microsoft Excel Wir konnten 'C:\Users\username\AppData\Roaming\Microsoft\AddIns\LASSIST.XLA' nicht finden. Wurde das Objekt vielleicht verschoben, umbenannt oder gelöscht? P1: 100202 P2: 16.0.5474.1000 P3: P4:
Der Leser hat herausgefunden, dass ein manuelles Entfernen des falschen Add-In-Eintrags und anschließend erneutes Hinzufügen des Add-Ins das Problem temporär behebt. Das Add-In kann wieder geladen werden und funktioniert dann kurzzeitig.
Es gibt erste Workarounds
Nach einem Neustart von Excel 2016 ist der Fehler aber wieder da, das Add-In kann nicht geladen werden, da es mit falschem Dateinamen gesucht wird. Benennt man die Datei z.B. in "LASSIST.XLA" um, so lädt Excel 2016 das Addin korrekt, solange man es mit dem Namen "VLASSIST.XLA" eingebunden lässt. Ist vermutlich die bessere Variante, als das Update KB5002653 zu deinstallieren.
Für den Fall, dass der Laufwerksbuchstabe zum Add-In abgeschnitten wird, hat viebrix hat hier noch einen Workaround skizziert. Einfach das Laufwerk mit Doppelbuchstaben als Netzlaufwerk verbinden, und dort das Add-In registrieren. Dann wird der erste Buchstabe durch den Bug entfernt und es funktioniert wieder mit dem Laden des Add-Ins.
Zudem sollte sich der Pfad auf das Add-In in der Registrierung anpassen lassen. Es ist eine benutzerdefinierte Einstellung unter
HKEY_CURRENT_USER\SOFTWARE\Microsoft\office\16.0\excel\options
Diesen Workaround hat Leser MB in diesem Kommentar beschrieben – ob das immer (wie hier skizziert) funktioniert, kann ich nicht sagen – Problem ist halt, dass das dann nicht mehr funktioniert, wenn Microsoft einen Fix ausrollt.
Meldungen auf reddit.com
Der Fehler betrifft mehr Nutzer. Blog-Leser kheldorn wies in einem Kommentar auf den reddit.com-Beitrag Office addins broken after updates ? hin, wo ein weiterer Nutzer dieses Fehlerbild in Microsoft Excel 2016 berichtet und fragt, ob jemand sonst betroffen ist. Dort hat kheldorn seine obigen Erkenntnisse ergänzt.
Es gibt einen zweiten reddit.com-Beitrag KB5002653 breaks Excel xla & xlam add-ins, wo dieses Fehlerbild ebenfalls beschrieben wird. Der Thread-Starter merkt an, dass beim Testen von KB5002653 (Sicherheitsupdate für Excel 2016) festgestellt wurde, dass das Laden von xla(m) Excel-Add-Ins kaputt ist. Excel lädt die Add-Ins nicht, weil das erste Zeichen des Pfades zur Add-Ins-Datei abgeschnitten wird. Das führt dazu, dass die Add-In-Datei nicht gefunden wird. Danke an kheldorn für den Hinweis.
Microsoft bestätigt den Bug und liefert Workaround
Gemäß diesem Kommentar von kheldorn hat Microsoft inzwischen den Bug im Beitrag Description of the security update for Excel 2016: November 12, 2024 (KB5002653) im "Known issues"-Abschnitt bestätigt.
Nach der Installation dieses Updates werden Excel-Add-Ins, die bei der letzten Verwendung von Excel aktiviert waren, möglicherweise nicht ordnungsgemäß geladen, wenn Sie Excel öffnen.
Der dort vorgeschlagene Workaround: Um dieses Problem zu umgehen, öffnen Sie die Add-Ins manuell, indem Sie auf sie doppelklicken oder Datei > Öffnen wählen.
Ergänzung: Der Bug wurde mit einem Update behoben, siehe Update KB4484305: Fix für Excel 2016 Add-In-Ladebug.
Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)
Patchday: Microsoft Office Updates (12. November 2024)
Anzeige
Sieht nach dem klassischen Index-Fehler aus.
Danke für die Infos.
Gerade kam ein Kollege zur Tür rein und sagte, dass Excel 2016 beim Start eine Fehlermeldung ausgibt. Handelt sich anscheinend um ein Plug-in seines Barcode-Druckers, welches nicht mehr geladen werden kann. Werde ich gleich mal genauer untersuchen…
Update:
Das Fehlerbild ist das gleiche, wie bereits berichtet. Der erste Buchstabe "fehlt" im Excel Aufruf des Plug-Ins.
Workaround funktioniert wie oben von kheldorn beschrieben. Ich habe die Datei mit dem Plug-In kopiert und passend umbenannt (Hier war es eine XLAM Datei).
Und voila: Fehlermeldung ist weg und die Funktionalität (Barcodeerstellung und -druck) ist auch wieder vorhanden.
Was ein Schrott. Der Workarround mag zwar funktionieren, aber wenn der Fehler mal behoben wird, muss man wieder zurück umbenennen. Also besser eine Kopie der XLA-Dateien unter dem verkürzten Namen anlegen. Dann hat man beide Varianten. Und wenn man hunderte Benutzer hat, bei denen XLA-Dateien umbenannt werden müssen, hat man ganz viel Spaß.
It's Frickeltime – again and again (und niemand lernt daraus)
Nicht unbedingt.
Das könnte man mit einem Startscript erledigen, das per GPO auf die Rechner verteilt wird.
Bei so etwas benenne ich nichts um oder kopiere eine Datei. Da lege ich einfach ein Hardlink an. Bin ich noch aus den 80ern gewohnt, als Speicherplatz knapp und teuer war. Ein Hardlink kostet nur ein Verzeichniseintrag. Bei M$ hat es aber lange gedauert, bis man damit arbeiten konnte.
Wie benennt man das Add-In um, wenn das erste fehlende Zeichen nicht im Dateinamen fehlt, sondern beim Laufwerkbuchstaben, wenn das Add-In also mit dem gesamten Pfad verlinkt ist?
"C:\Program Files (x86)\JetReports\JetReports.xll"
->
":\Program Files (x86)\JetReports\JetReports.xll"
?
Umbenennen zu "etReports.xll" bringt in so einem Fall nichts.
Siehe Fehlerbeschreibung dort:
https://www.borncity.com/blog/2024/11/13/microsoft-security-update-summary-12-november-2024/#comment-199045
Hier war es so, dass der Pfad komplett angegeben war (Ordner + Dateiname). Der Pfad war vollständig. Es fehlte "nur" der erste Buchstabe im Dateinamen.
Edit: Sorry, hilft natürlich im von dir zitierten Fall nicht
Das Laufwerk nochmals mit Doppelbuchstaben als Netzlaufwerk verbinden, dort das Addin registrieren
"CC:\\\\Program Files (x86)\JetReports\JetReports.xll"
dann geht der erste Buchstabe des Laufwerks verloren und sollte wieder auf das normale C-Laufwerk zugreifen.
Aber ich habe noch nie Doppelbuchstaben probiert, angeblich soll es seit W2k gehen.
Aber ich hoffe mal dass MS hier schnell reagiert und man solche wahnsinnigen Workarounds nicht benötigt…
Doppelbuchstaben gab es noch nie, zu keiner Zeit
Ohjeee, was sind das denn für Programmier-Anfänger-Fehler die da bei MS verbockt wurden? Stringlänge nicht richtig ermittelt und dann falsch abgeschnitten.
The dreaded (and most common) "off-by-one" error! Probably from a D E I hire, LOL!
Entweder registrierst du das Add-In so wie "viebrix" beschrieben oder du wagst dich in die Registry und änderst den folgenden Eintrag um:
HKEY_USERS\SID-DES-BENUTZERS\Software\Microsoft\Office\16.0\Excel\Options
Dort den Wert /R "C:\Program Files (x86)\JetReports\JetReports.xll" des Eintrags "OPEN" auf folgenden Wert ändern:
/R "CC:\Program Files (x86)\JetReports\JetReports.xll"
(einfach ein zweites C reinschreiben).
Dann testen und Excel öffnen.
Bei mir war der Fehler weg.
Such am besten nach dem "String": /R "C:\Program Files (x86)\JetReports\JetReports.xll"
dann solltest du schnell zu dem "Pfad" in der Registry kommen.
Mach dir vorher ein Backup und dokumentier das.
Mit einem nächsten Update von Microsoft könnte das eigentliche Problem ja behoben werden und dieser Workaround nicht mehr funktionieren, sprich: du musst den Eintrag wieder rückgängig machen.
Viele Grüße
Danke für diesen Tipp! Ich habe vor meinen "OPEN"-Einträgen einfach ein "x" eingetragen und nun findet Excel 2016 meine AddOns wieder :-)
Inzwischen hat Microsoft das Problem bestätigt, siehe https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-excel-2016-november-12-2024-kb5002653-189190cb-3ae5-47ac-b85a-ca9815cff793
"After you install this update, Excel add-ins that were enabled the last time you used Excel may not load properly when you open Excel. To work around this issue, open the add-ins manually by double-clicking them or selecting File > Open."
Danke für die Info – wollte es heute morgen an Microsoft melden, hatte aber eine Stunde Frühsport (alte Weisheit bestätigt "manche Dinge erledigen sich durch liegen lassen).
Alternativ kann man den Startpfad auch in der Registry anpassen. Dieser befindet sich unter "Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\office\16.0\excel\options" unter der Zeichenfolge OPEN. Wenn Du hier den Wert um ein zusätzliches C erweiterst, wird das AddIn korrekt geladen.
Ob ich das hier allerdings so ausrollen wollen würde, bin ich mir noch unsicher.
Danke, hatte das auch im Sinn – wollte den Pfad aber noch eruieren.
Diese Pfadanpassung funktioniert bei mir nicht. Ein zusätzliches c ändert nur die Fehlermeldung insofern, dass sie nun korrekt mit c: backslash program files… startet, jedoch nun aber den letzten Buchstaben des Addins abschneidet. Diesen ebenfalls doppelt in die Registry zu schreiben, bringt nichts! Somit ist dieser Workaround wirkungslos.
—
Backslash habe ich ausgeschrieben, weil die Forensoftware sonst gar keinen dargestellt hätte, Günter.
Unser Softwarehersteller teilt uns mit, dass sie kontakt zu Microsoft hergestellt hat und angeblich sagte MS zu denen, dass Add In unter Office 2016 nicht mehr genutzt werden soll, aufgrund der Sicherheit. Es sei kein Bug sondern ein Feature ;)
Microsoft stirbt mit "Sicherheit" LOL
Was windows so groß gemacht hat ist mit unter die riesige Freiluftorgie welche alle Win 32 apps untereinander veranstalten können daraus kommen die ganzen plugins und Erweiterungen und Integrationen von apps unterschiedlicher Anbieter unter einander.
Besonders beliebt wen alles und jeder in office apps rein kommt.
Adobe, Endnote, Origin, alles mögliche.
Daraus ergibt sich MSFTs Markt Dominanz durch das die ganze Programme in die windows Umgebung integriert sind, wenn in Zukunft jede app nur noch ihr eigenes ding durch zieht wird es nur ein kleiner schritt die app auch für eine andere platform zu portieren.
Die sägen sich auch die office Dominanz ein stuck weg damit ab.
Klar Sicherheit ist gut aber zu viel davon beeinträchtigt die usability und IMHO wenn MSFT da nicht aufpasst schießen sie sich damit ins Knie.
MS hat gestern das KB5002653 mit KB4484305 gefixt. Laut Artikel [1] ist ein manueller Download (bzw. Import in WSUS) notwendig. Habe es noch nicht getestet.
[1] https://support.microsoft.com/en-us/topic/november-19-2024-update-for-excel-2016-kb4484305-c7fdc4c1-5061-c276-254f-5a090a462e4a
Wir konnten es heute testen, funktioniert und verursacht keine anderen Probleme.
Leider finde ich KB4484305 nicht im Update Catalog. Daher kann ich es nicht über den WSUS verteilen. Das macht die Verteilung auf dutzende Clients und Terminalserver sehr aufwändig :-(
Und da der manuelle Download im obigen Link nur in englischer Sprache zur Verfügung steht, ist auch noch zu prüfen, ob das Update überhaupt mit einer deutschen Office Installation zusammen arbeitet.
Ich habe gestern KB4484305 auf unserer deutschen Installation ausgerollt. Addins funktionieren wieder problemlos und bisher keine anderen Probleme aufgetreten.
Mit dem Sicherheitsupdate für Microsoft Excel 2016 (KB5002660) vom 10.12.2024 ist das Problem behoben.
https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-excel-2016-december-10-2024-kb5002660-59be9962-29da-4002-bee5-dfaef1fbb673
Wird seit gestern über WSUS und den Microsoft Update Catalog ausgeliefert,