Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert werden. Die von diesem Forum gesetzten Cookies werden nur auf dieser Website verwendet und stellen kein Sicherheitsrisiko dar. Cookies aus diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.
Clever-Excel-Forum Office-Anwendungen Excel v
PQ ist harmlos!

Thema geschlossen 
Baumstrukturmodus
PQ ist harmlos!
Fennek Offline
Benutzer
Registriert seit: 06.12.2015
Version(en): 2016
#1
27.06.2019, 11:17 (Dieser Beitrag wurde zuletzt bearbeitet: 27.06.2019, 11:25 von Glausius.)
die verbreitete Meinung, PQ sei harmlos muss etwas modifiziert werden:

https://www.spiegel.de/netzwelt/web/micr...74537.html




(ebenso ist die Aussage "in xlsx-Dateien ist kein Makro" im Prinzip richtig)
Suchen
Antworten Top
LCohen Offline
Benutzer
Registriert seit: 21.12.2017
Version(en): MS 365 Family (6 User x 5 Geräte für jeden) Insider-Beta
#2
27.06.2019, 11:29 (Dieser Beitrag wurde zuletzt bearbeitet: 27.06.2019, 11:29 von LCohen.)
Danke für den Artikel ... man braucht also nur eine präparierte Webseite als Abfragequelle, um über eine ganz normale .xlsx einen Empfänger, der die dann öffnet und ausführt, zu infizieren.

Web-Abfragen waren allerdings auch schon vorher mit Excel möglich (und abspeicherbar). Von daher ist PQ da jetzt nichts Neues.

Da man mit F9 (bzw. automatischer Kalkulation) das nicht starten kann, sondern nur mit Abfr.Aktual., bedarf es also Absicht.

Und für eine automatische Ausführung bedarf es einer .xlsm, und die lässt sich beim Öffnen ja deaktivieren. Oder man öffnet sie nicht.
Suchen
Antworten Top
schauan Offline
Einer von hier
Registriert seit: 10.04.2014
Version(en): 97-2019 (32) + 365 (64)
#3
27.06.2019, 16:16
Hallöchen,

ich glaube, die Absicht liegt gerade hier für die Forennutzer, egal ob Fragesteller, Antworter oder Leser, nicht nur im Bereich des Möglichen Sad
.      \\\|///      Hoffe, geholfen zu haben.
       ( ô ô )      Grüße, André aus G in T  
  ooO-(_)-Ooo    (Excel 97-2019+365)
Homepage Suchen
Antworten Top
Fennek Offline
Benutzer
ThreadStarter

Registriert seit: 06.12.2015
Version(en): 2016
#4
27.06.2019, 16:25
Hallo Andre,

der Satz ist mir grammatikalisch zu anspruchsvoll.

Meine Position ist etwas taoistisch: Meine Excel-Kenntnisse reichen nicht aus um auch nur einen Ansatz zu erahnen (Frust), das macht aber neugierig.

mfg
Suchen
Antworten Top
schauan Offline
Einer von hier
Registriert seit: 10.04.2014
Version(en): 97-2019 (32) + 365 (64)
#5
27.06.2019, 16:46 (Dieser Beitrag wurde zuletzt bearbeitet: 27.06.2019, 16:46 von schauan.)
HI Fennek,

ja, da war ich ganz schön am Feilen um das so hinzubekommen Smile
Der Punkt ist eben, wenn eine Anfrage kommt, irgendwas von einer Website auszulesen, und es bietet sich an, das mit PQ zu tun. Da kann der TE schon eine Datei mitschicken und fragen, warum "sein" PQ nicht funktioniert, oder ein Antworter postet ein PQ - Beispiel oder verlinkt zu einer vermeintlichen PQ - Tutorial - Seite, oder  ...
.      \\\|///      Hoffe, geholfen zu haben.
       ( ô ô )      Grüße, André aus G in T  
  ooO-(_)-Ooo    (Excel 97-2019+365)
Homepage Suchen
Antworten Top
Fennek Offline
Benutzer
ThreadStarter

Registriert seit: 06.12.2015
Version(en): 2016
#6
27.06.2019, 17:17
um das Risiko von VBA zu mindern, prüfe ich zuerst jeden Code.

Aber ich abe keine Idee, wie ich PQ-Code prüfen könnte. Falls jemand da ein paar Tips hätte ...




(allerdings öffne ich die Dateien in Excel immer ohne Internetverbindung)
Suchen
Antworten Top
Storax Offline
Benutzer
Registriert seit: 25.04.2016
Version(en): 2013
#7
27.06.2019, 18:32 (Dieser Beitrag wurde zuletzt bearbeitet: 27.06.2019, 18:32 von Storax.)
Hier gibt es Details, hat  Ähnlichkeiten zur CSV-Injection.
Insgesamt wohl eher ein alter Hut und mimecast will nur Aufmerksamkeit.
No spoon feeding
Suchen
Antworten Top
Der Steuerfuzzi Offline
Excel Rose
Registriert seit: 11.03.2015
Version(en): mittlerweile meistens 2019
#8
27.06.2019, 22:35 (Dieser Beitrag wurde zuletzt bearbeitet: 27.06.2019, 22:35 von Der Steuerfuzzi.)
@Storax: FULL ACK. Denn im Prinzip dürfte das Problem auch bei einer "normalen" Webabfrage bestehen, da auch hier die aus der csv-injection bekannten Probleme mit der Umwandlung von Formeln bestehen.
Gruß
Michael
Suchen
Antworten Top
Thema geschlossen 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste