Virhe Word-kentissä ja ulkoisissa Excel-päivityksissä saattaa johtaa tietojen altistumiseen muille käyttäjille

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 330008 - Näytä tuotteet, joita tämä artikkeli koskee.
Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Oire

Microsoft Word ja Microsoft Excel sisältävät mekanismin, jonka avulla toisen asiakirjan tietoja voidaan lisätä toiseen asiakirjaan ja päivittää siinä. Tämä toteutetaan Wordissa kenttäkoodien avulla ja Excelissä ulkoisilla päivityksillä. Molemmat tavat voidaan automatisoida käytön helpottamiseksi. Esimerkiksi Wordissa juridiseen asiakirjaan voidaan lisätä vastuuvapautuslauseke kenttäkoodien avulla. Excelissä voidaan käyttää ulkoisia päivityksiä, kun esimerkiksi tietty laskentataulukon kaavio halutaan päivittää toisen laskentataulukon tiedoilla.

Sekä kenttäkoodeja että ulkoisia päivityksiä voidaan kuitenkin käyttää väärin tietojen varastamiseksi käyttäjältä. Tietyt tapahtumat voivat käynnistää ulkoisen päivityksen tai kenttäkoodien päivittämisen. Tällaisia tapahtumia voivat olla esimerkiksi asiakirjan tallentaminen tai linkkien päivittäminen manuaalisesti. Yleensä käyttäjä on tietoinen päivityksistä niiden tapahtuessa. Tietyllä tavalla luotua kenttäkoodia tai ulkoista päivitystä voidaan kuitenkin käyttää niin, että päivitys tapahtuu käyttäjän tietämättä. Tämä mahdollistaa sen, että hyökkääjä voi luoda asiakirjan, joka avaamisensa yhteydessä päivittää itseensä käyttäjän tietokoneen sisältämän tiedoston sisällön.

Jotta hyökkääjä voisi hyödyntää tätä heikkoutta, hänen täytyy tehdä seuraavat toimet:
  1. Luoda heikkoutta hyödyntävä Word- tai Excel-asiakirja.
  2. Toimittaa se käyttäjälle sähköpostitse tai jollakin muulla menetelmällä.
  3. Saada käyttäjä avaamaan asiakirja.
Käyttäjän on lisäksi yleensä palautettava asiakirja hyökkääjälle, jotta hyökkäys onnistuisi.

Microsoft on kuitenkin tietoinen yhdestä tapauksesta, jossa hyökkäys on onnistunut, vaikka käyttäjä ei ole palauttanut asiakirjaa. Tässä tapauksessa käytetyn menetelmän avulla hyökkääjän asiakirja voi lisätä tietoja suoraan Web-sivustoon, vaikka vain tiedoston ensimmäisen rivin lähettäminen sallitaan.

Ratkaisu

Word 2002

Jos käytössäsi on Word 2002, asenna Word 2002 -korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
329748 Word 2002 Service Pack 2 -päivityksen 16.10.2002 kuvaus

Excel 2002

Jos käytössäsi on Excel 2002, asenna Excel 2002 -korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
329750 XL2002: Excel 2002 SP-2 -päivityksen yleiskatsaus: 16.10.2002

Word 2000

Jos käytössäsi on Word 2000, asenna Word 2000 -korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
329749 WD2000: Word 2000 SR-1 -päivityksen yleiskatsaus: 16.10.2002

Word 97 ja Windows Word 98:n japaninkielinen versio

Jos käytät Word 97:ää tai Windows Word 98:n japaninkielistä versiota, asenna Word 97:n ja japaninkielisen Windows Word 98:n korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
330080 WD97: Word 97 on alttiina tietoturvatiedotteessa MS02-059 käsitellyille suojausheikkouksille (tämä artikkeli saattaa olla englanninkielinen)

Word X for Mac, Word 2001 for Macintosh, Word 98 Macintosh Edition

Tietoja korjaustiedostojen hankkimisesta Microsoft Wordin Macintosh-versioita varten on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/mac/downloads.aspx?pid=security

Tila

Microsoft on vahvistanut, että tämä ongelma saattaa aiheuttaa jonkinasteisen suojausheikkouden artikkelin alussa luetelluissa Microsoftin tuotteissa.

Enemmän tietoa

Lisätietoja näistä heikkouksista on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/mac/downloads.aspx

Ominaisuudet

Artikkelin tunnus: 330008 - Viimeisin tarkistus: 27. helmikuuta 2014 - Versio: 6.6
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Macintosh Word X
  • Microsoft Macintosh Word 2001
  • Microsoft Macintosh Word 98
  • Microsoft Word 98 Standard Edition
Hakusanat: 
kbnosurvey kbarchive kbqfe kbhotfixserver kbfield kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com