Fout in Word-velden en externe updates voor Excel leidt tot het vrijgeven van informatie

Artikel ID: 330008 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Microsoft Word en Microsoft Excel zijn voorzien van een mechanisme waardoor gegevens van een document kunnen worden ingevoegd en bijgewerkt in een ander document. Dit mechanisme, dat veldcodes heet in Word en externe updates in Excel, kan worden geautomatiseerd ten behoeve van de gebruiker. Veldcodes in Word kunnen bijvoorbeeld worden gebruikt om automatisch een standaardvrijwaringstekst in een juridisch document in te voegen. Externe updates voor Excel kunnen worden gebruikt om automatisch een grafiek in een werkblad bij te werken met gegevens uit een ander werkblad.

Het is echter mogelijk om veldcodes en externe updates op schadelijke wijze toe te passen om een gebruiker heimelijk informatie te ontfutselen. Bepaalde gebeurtenissen kunnen tot gevolg hebben dat de externe update en de veldcode worden bijgewerkt, bijvoorbeeld wanneer de gebruiker een document opslaat of de koppelingen handmatig bijwerkt. In principe merkt de gebruiker dat deze updates plaatsvinden. Er kan echter een speciaal vervaardigde veldcode of externe update worden gebruikt om een update in gang te zetten zonder dat de gebruiker daar erg in heeft. Hierdoor kan een aanvaller een document maken dat zichzelf bijwerkt wanneer het wordt geopend, zodat het de inhoud van een bestand van de lokale computer van de gebruiker bevat.

Als een aanvaller dit beveiligingslek wil misbruiken, moet de aanvaller het volgende doen:
  1. Een Word- of Excel-document maken waarin dit beveiligingslek wordt misbruikt.
  2. Dit document via e-mail of een andere methode bij de gebruiker afleveren.
  3. De gebruiker ertoe zien te bewegen het document te openen.
Voor een geslaagde aanval moet de gebruiker het document terugsturen naar de aanvaller.

Microsoft is echter op de hoogte van een geval waarin de gebruiker dat zelfs niet eens hoeft te doen. Via de methode die in het betreffende geval wordt gebruikt, kan informatie uit het document van de aanvaller rechtstreeks op een website worden gezet, hoewel daarbij alleen de eerste regel van het bestand kan worden verzonden.
Naar boven | Geef ons feedback

Oplossing

Word 2002

Als u Word 2002 gebruikt, past u de Word 2002-patch toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
329748
(http://support.microsoft.com/kb/329748/ )
Beschrijving van de update Word 2002 Service Pack 2: 16 oktober 2002

Excel 2002

Als u Excel 2002 gebruikt, past u de Excel 2002-patch toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
329750
(http://support.microsoft.com/kb/329750/ )
Excel 2002: Overzicht van de Excel 2002 SP-2-update: 16.10.02

Word 2000

Als u Word 2000 gebruikt, past u de Word 2000-patch toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
329749
(http://support.microsoft.com/kb/329749/ )
Word 2000: Overzicht van de update voor Word 2000 SR-1: 16 oktober 2002

Word 97 en de Japanse versie van Word 98 voor Windows

Als u Word 97 of de Japanse versie van Word 98 voor Windows gebruikt, past u de patch voor Word 97 of de Japanse versie van Word 98 voor Windows toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
330080
(http://support.microsoft.com/kb/330080/ )
Word 97: Word 97 is gevoelig voor beveiligingsproblemen die worden beschreven in MS02-059

Word X voor Mac, Word 2001 voor Macintosh en Word 98 Macintosh Edition

Voor informatie over het ophalen van patches voor de Macintosh-versies van Microsoft Word, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/mac/downloads.aspx?pid=security
(http://www.microsoft.com/mac/downloads.aspx?pid=security)
Naar boven | Geef ons feedback

Status

Microsoft heeft bevestigd dat dit probleem een beveiligingslek kan veroorzaken in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op' van dit artikel.
Naar boven | Geef ons feedback

Meer informatie

Voor meer informatie over deze beveiligingsproblemen gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/mac/downloads.aspx
(http://www.microsoft.com/mac/downloads.aspx)
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 330008 - Laatste beoordeling: vrijdag 7 april 2006 - Wijziging: 7.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X voor Macintosh
  • Microsoft Word 2001 voor Mac
  • Microsoft Word 98 voor Macintosh
  • Microsoft Word 98 Standard Edition
Trefwoorden: 
kbqfe kbhotfixserver kbfield kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven