{"id":196548,"date":"2017-11-20T00:39:22","date_gmt":"2017-11-19T23:39:22","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196548"},"modified":"2018-12-08T18:16:52","modified_gmt":"2018-12-08T17:16:52","slug":"hat-microsoft-zugriff-auf-teile-des-office-quellcodes-verloren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/20\/hat-microsoft-zugriff-auf-teile-des-office-quellcodes-verloren\/","title":{"rendered":"Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?"},"content":{"rendered":"

Nach den letzten Patches des Office-Formeleditors ist die Spekulation aufgekommen, ob Microsoft m\u00f6glicherweise den Zugriff auf Teile seines Office-Quellcodes verloren hat. Hier ein paar Informationen. <\/p>\n

<\/p>\n

\"\"Im Formeleditor EQNEDT32.EXE, der bis 2007 in Microsoft-Office enthalten ist, gab es eine Sicherheitsl\u00fccke CVE-2017-11882, die beim November 2017-Patchday mit geschlossen wurde (ich hatte es im Blog-Beitrag Microsoft Office Sicherheitsupdates (14. November 2017)<\/a> erw\u00e4hnt). <\/p>\n

Die Sicherheitsl\u00fccke wurde im Sommer von Forschern des Cybersicherheitsunternehmens Embedi entdeckt und erregte Aufmerksamkeit in den Medien, weil sie stille Angriffe auf alle Microsoft Office- und Windows-Versionen der letzten 17 Jahre ohne Benutzerinteraktion erlaubte. <\/p>\n

Der alte Formeleditor ist noch da<\/h2>\n

Im Jahr 2007 wurde zwar ein neuer Formeleditor in Microsoft Office eingef\u00fchrt. Aber die Dateien des alten Formeleditors EQNEDT32.EXE sind nach wie vor in allen Office-Versionen enthalten. Benutzer k\u00f6nnen also weiter auf den alten Formeleditor zugreifen, um Gleichungen zu editieren. <\/p>\n

\"Formeleditor\"<\/p>\n

W\u00e4hrend Microsoft die alte Komponente EQNEDT32.EXE im Jahr 2007 durch eine neue Komponente ersetzt hat, ist die \u00e4ltere Datei immer noch in allen Office-Installationen enthalten, damit Benutzer die mit der alten Komponente erstellten Gleichungen laden und bearbeiten k\u00f6nnen.<\/p>\n

Merkw\u00fcrdige Patcherei<\/h2>\n

Nun haben sich Sicherheitsspezialisten wohl die Umst\u00e4nde f\u00fcr den Patch dieser Sicherheitsl\u00fccke angesehen und kamen aus dem Staunen nicht mehr heraus, wie Bleeping Computer hier<\/a> schreibt. <\/p>\n

W\u00e4hrend die meisten Sicherheitsexperten sich den 20-seitigen Bericht von Embedi zu den Details des Fehlers anschauten, interessierten sich andere Fachleute f\u00fcr den Patch an sich. Die Experten von 0patch hatte ich hier im Blog ja schon h\u00e4ufiger erw\u00e4hnt. Die Firma 0patch entwickelt Patches gegen Zero-Day-Exploits. Den Fachleuten von 0patch ist nun aufgefallen, dass die gepatchte Datei EQNEDT32.EXE fast identisch mit der alten Dateiversion war. <\/p>\n

Das ist \u00e4u\u00dferst ungew\u00f6hnlich, wenn man wei\u00df, wie es normalerweise abl\u00e4uft. Wird ein ge\u00e4nderter Quellcode nach vielen Jahren durch einen Compiler neu \u00fcbersetzt, ist es \u00e4u\u00dferst unwahrscheinlich, dass alle Funktionen in einer 500 KB-Programmdatei an exakt die gleiche Stelle gespeichert werden. Die bin\u00e4re Signatur neu \u00fcbersetzter Programme weicht nach \u00c4nderungen des Quellcodes immer signifikant vom Vorg\u00e4nger ab. <\/p>\n

F\u00fcr die Experten von 0patch gibt es nur eine logische Erkl\u00e4rung, warum die neue Version der EQNEDT32. EXE der vorherigen Version so \u00e4hnlich ist: Die Microsoft-Entwickler m\u00fcssen die Bin\u00e4rdatei selbst manuell editiert haben. F\u00fcr eine Firma wie Microsoft, die eine Versionspflege und Codeverwaltung hat, d\u00fcrfte aber das manuelle herumfummeln am Bin\u00e4rcode ein no go sein. <\/p>\n

Und es gibt noch eine Merkw\u00fcrdigkeit. Der Formeleditor meldet sich mit folgendem About<\/em>-Dialogfeld. Dieses zeigt, dass das Programm zuletzt 2000 \u00fcbersetzt wurde. Etwas, was normalerweise nicht vorkommt, wenn ein Quellcode angepasst und neu \u00fcbersetzt wird. <\/p>\n

\"Formeleditor-Info\"(Quelle: Embedi<\/em>)<\/p>\n

Das Modul wurde laut About<\/em>-Dialogfeld zudem von Design Science Inc. erstellt. Microsoft hat sp\u00e4ter die Rechte an diesem Formeleditor von Design Science Inc. erworben. Halten wir also fest: Im Formeleditor gab es seit 17 Jahren einen Fehler, und das Teil wurde niemals seit dieser Zeit aktualisiert, sondern 2007 durch einen neuen Formeleditor ersetzt. <\/p>\n

Das l\u00e4sst nur einen Schluss zu: Microsoft hat irgendwie den Zugriff auf den Quellcode des alten Formeleditors verloren. Oder noch schlimmer: Vermutlich haben die Leute bei Microsoft niemals den Quellcode des Formeleditors besessen. Im Bleeping Computer-Artikel lassen sich noch einige Details nachlesen.<\/p>\n

\n

Ich bin ja schon ein paar J\u00e4hrchen im Gesch\u00e4ft und halte das geschilderte Szenario f\u00fcr durchaus plausibel. Um das Jahr 2000 herum kam ich mit einem jungen Deutschen, der in den USA lebte, in Kontakt. Damals ging es um einen Microsoft-Debugger f\u00fcr Scripting. Der deutsche Entwickler wollte eine Schnittstelle f\u00fcr eine eigene Software aufsetzen, die den Debugger nutzte. Als er den Quellcode des Microsoft Debuggers sah, beschloss er, seinen eigenen Debugger zu schreiben. Ich erinnere mich nicht mehr im Detail \u2013 aber es war wohl so, dass das Zeugs undokumentiert, unvollst\u00e4ndig und fehlerhaft war und seinerzeit von keinem bei Microsoft mehr verstanden wurde. Nachdem einige Leute bei Microsoft in den letzten Jahren gegangen (worden) sind, k\u00f6nnte ein \u00e4hnliches Szenario zutreffen. L\u00e4sst Raum f\u00fcr viel Phantasie, wie es mit anderen Produkten bestellt ist und w\u00fcrde mir auch einiges erkl\u00e4ren \u2026<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Nach den letzten Patches des Office-Formeleditors ist die Spekulation aufgekommen, ob Microsoft m\u00f6glicherweise den Zugriff auf Teile seines Office-Quellcodes verloren hat. Hier ein paar Informationen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270],"tags":[4322],"class_list":["post-196548","post","type-post","status-publish","format-standard","hentry","category-office","tag-office"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196548"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196548\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}