Microsoft hat außerplanmäßige Korrektur-Updates für Microsoft Office 2010 bis 2016 bereitgestellt, die bei Bedarf manuell heruntergeladen und installiert werden können. Bis vor kurzem sorgte nämlich ein zum Security-Patchday am 14. April 2020 veröffentlichtes Update auf manchen Systemen für Schwierigkeiten mit Projekten in der Skriptsprache Visual Basic for Applications (VBA) – und damit auch bei der Ausführung von Makro-Code.
Unerwünschte Blockaden durch Korrektur-Update
Das Sicherheitsupdate vom April, das die VBA-Probleme mitbrachte, beseitigt die Office-Schwachstelle CVE-2020-0760, die remote ausnutzbar ist. Zum Schutz vor CVE-2020-0760 blockiert das Sicherheitsupdate standardmäßig Verweise auf unsichere Speicherorte, wenn diese in VBA-Programmen benutzt werden. Ein sinnvoller Schutzmechanismus, der, wie wir in der ersten heise-online-Meldung zu den VBA-Problemen erläuterten, bei Bedarf mit einem Workaround per Gruppenrichtlinien umgegangen werden kann. Inzwischen ist allerdings bekannt, dass das Update (fälschlicherweise) auch das Nachladen von Komponenten unterbindet, deren Dateinamen oder -pfad DBCS-Zeichen (Doppelbyte-Zeichensatz) enthalten.
Manueller Download und Installation erforderlich
Zwischen dem 6. und 8. Mai 2020 hat Microsoft deshalb Korrektur-Updates für Office 2010, Office 2013 und Office 2016 bereitgestellt, die das unerwünschte Verhalten unterbinden. Betroffene Nutzer können das Sonderupdate über die nachfolgenden Links aus dem Microsoft Download Center herunterladen und müssen dieses im Anschluss manuell per Doppelklick auf den Download installieren.
- Update KB3101353 (32 Bit) für Office 2016
- Update KB3101353 (64 Bit) Office 2016
- Update KB2986208 (32 Bit) für Office 2013
- Update KB2986208 (64 Bit) Office 2013
- Update KB3015640 (32 Bit) für Office 2010
- Update KB3015640 (64 Bit) Office 2010
- Beitrag zu KB3101353 für Office 2016 (8. Mai)
- Beitrag zu KB2986208 für Office 2013 (6. Mai)
- Beitrag zu KB3015640 für Office 2010 (7. Mai)
- Microsoft und Emotet: Makroschutz in Office 365 nur für Konzerne
- Ransomware-Themenseite bei heise online
Quelle: Office 2010 bis 2016: Microsoft fixt durch Security-Update bedingtes VBA-Problem | heise online