Microsoft hat außerplanmäßige Korrektur-Updates für Microsoft Office 2010 bis 2016 bereitgestellt, die bei Bedarf manuell heruntergeladen und installiert werden können. Bis vor kurzem sorgte nämlich ein zum Security-Patchday am 14. April 2020 veröffentlichtes Update auf manchen Systemen für Schwierigkeiten mit Projekten in der Skriptsprache Visual Basic for Applications (VBA) – und damit auch bei der Ausführung von Makro-Code.

Unerwünschte Blockaden durch Korrektur-Update

Das Sicherheitsupdate vom April, das die VBA-Probleme mitbrachte, beseitigt die Office-Schwachstelle CVE-2020-0760, die remote ausnutzbar ist. Zum Schutz vor CVE-2020-0760 blockiert das Sicherheitsupdate standardmäßig Verweise auf unsichere Speicherorte, wenn diese in VBA-Programmen benutzt werden. Ein sinnvoller Schutzmechanismus, der, wie wir in der ersten heise-online-Meldung zu den VBA-Problemen erläuterten, bei Bedarf mit einem Workaround per Gruppenrichtlinien umgegangen werden kann. Inzwischen ist allerdings bekannt, dass das Update (fälschlicherweise) auch das Nachladen von Komponenten unterbindet, deren Dateinamen oder -pfad DBCS-Zeichen (Doppelbyte-Zeichensatz) enthalten.

Manueller Download und Installation erforderlich

Zwischen dem 6. und 8. Mai 2020 hat Microsoft deshalb Korrektur-Updates für Office 2010, Office 2013 und Office 2016 bereitgestellt, die das unerwünschte Verhalten unterbinden. Betroffene Nutzer können das Sonderupdate über die nachfolgenden Links aus dem Microsoft Download Center herunterladen und müssen dieses im Anschluss manuell per Doppelklick auf den Download installieren.

Die Updates sind nur für die MSI-Installationsversionen von Microsoft Office vorgesehen. Nach der Installation ist gegebenenfalls ein Neustart des Systems erforderlich. Weitere Informationen sind den Supportbeiträgen zu den Updates zu entnehmen:

Anm. der Red.: Unternehmen, die (oft mangels guter Alternativen) weiterhin Makros verwenden, um Arbeitsläufe in Office-Anwendungen zu automatisieren und zu vereinfachen, sollten sich der steigenden Gefahr bewusst sein, die von Schadcode in E-Mail-Anhängen ausgeht. Mehr zu diesem Thema finden Sie unter anderem hier:

Update 12.05.20, 16:00: Kleinere Textänderung: Hinweis auf die von Makros ausgehenden Gefahren als "Anm. d. Red." gekennzeichnet und ans Ende des Textes gestellt, da er nicht vom Autor dieser Meldung stammte. (ovw)