A Word program mezőinek és az Excel alkalmazás külső frissítési szolgáltatásának hibája az adatokhoz való illetéktelen hozzáférést tehet lehetővé

A cikk fordítása A cikk fordítása
Cikk azonosítója: 330008 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A Microsoft Word és a Microsoft Excel alkalmazás rendelkezik egy olyan eljárással, amelynek révén az egyik dokumentumból származó adatok beszúrhatók egy másik dokumentumba, és frissíthetők is abban. Ezt a mechanizmust a Word alkalmazás esetén mezőkódoknak, az Excel alkalmazásban pedig külső frissítéseknek nevezik, és a mechanizmus a felhasználó munkájának egyszerűsítése érdekében automatizálható. A Word mezőkódjai segítségével például automatikusan beszúrható és frissíthető egy garanciát kizáró nyilatkozat a jogi tárgyú dokumentumokban. Az Excel külső frissítési szolgáltatásával automatikusan frissíthető egy munkalapon lévő diagram egy másik munkalapból származó adatok alapján.

A mezőkódok és a külső frissítések támadó célú alkalmazásával azonban titkos információk szerezhetők a felhasználóktól. A külső frissítéseket és a mezőkódok frissítését különböző események váltják ki – ilyen esemény az, amikor a felhasználó menti a dokumentumot vagy frissíti a hivatkozásokat. A felhasználó rendszerint tudatában van a frissítések bekövetkeztének. Egy speciálisan kialakított mezőkóddal vagy külső frissítéssel azonban úgy is kezdeményezhető a frissítés, hogy a felhasználó erről semmiféle jelzést ne kapjon. A támadó így létrehozhat egy olyan dokumentumot, mely megnyitáskor úgy frissíti magát, hogy beszúrja önmagába a felhasználó helyi számítógépén található valamelyik fájl tartalmát.

A biztonsági rés kihasználásához a támadónak a következőkre van szüksége:
  1. Létre kell hoznia egy, a biztonsági rés kihasználására alkalmas Word vagy Excel dokumentumot.
  2. A dokumentumot e-mailben vagy más módszerrel el kell juttatnia a felhasználóhoz.
  3. Rá kell vennie a felhasználót a dokumentum megnyitására.
A támadás sikeréhez rendszerint a felhasználónak vissza is kell juttatnia a dokumentumot a támadónak.

Fontos azonban megjegyezni, hogy a Microsoft egy olyan esetet is feltárt, melyben a felhasználónak nem szükséges visszajuttatnia a dokumentumot. E módszer szerint a támadó dokumentuma közvetlenül egy webhelyre küldi az adatokat, bár ekkor csak a fájl első sorát tudja elküldeni.

A megoldás

Word 2002

Ha a Word 2002 alkalmazást használja, telepítse a Word 2002 alkalmazáshoz kiadott javítást. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329748 A Word 2002 Service Pack 2 szervizcsomag 2002. október 16-án kiadott frissítésének áttekintése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Excel 2002

Ha használja az Excel 2002 alkalmazást, telepítse a hozzá kiadott javítást. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329750 XL2002: Az Excel 2002 SP-2 alkalmazás 2002. október 16-án kiadott frissítésének áttekintése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Word 2000

Ha használja a Word 2000 alkalmazást, telepítse a Word 2000 javítását. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
329749 WD2000: A Word 2000 SR-1 alkalmazás 2002. október 16-án kiadott frissítésének áttekintése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Word 97, valamint a Word 98 for Windows japán nyelvű verziója

Ha használja a Word 97 alkalmazást vagy a Word 98 for Windows japán nyelvű verzióját, telepítse az ezekhez készült javítást. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
330080 WD97: Az MS02-059 biztonsági probléma miatt sebezhető a Word 97

Word X for Mac, Word 2001 for Macintosh, Word 98 Macintosh Edition

A Microsoft Word alkalmazás Macintosh rendszerre készült változataival kapcsolatban a Microsoft alábbi webhelyén talál információt:
http://www.microsoft.com/mac/downloads.aspx?pid=security

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a cikk elején felsorolt Microsoft-termékeknél.

További információ

A biztonsági résről a Microsoft következő webhelyén talál további információt:
http://www.microsoft.com/mac/downloads.aspx

Tulajdonságok

Cikk azonosítója: 330008 - Utolsó ellenőrzés: 2014. február 26. - Verziószám: 6.6
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X for Macintosh
  • Microsoft Word 2001 for Mac
  • Microsoft Word 98 for Macintosh
  • Microsoft Word 98 Standard Edition
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbofficexppresp2fix kbsecvulnerability kbqfe kbsecurity kbfield kbsecbulletin KB330008
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com