MS02-059: Falha em campos do Word e atualizações externas do Excel podem causar a divulgação não autorizada de informações

ID do artigo: 330008 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Nesta página

Sintomas

O Word e o Excel fornecem um mecanismo pelo meio do qual os dados de um documento podem ser inseridos e atualizados em outro documento. Esse mecanismo, conhecido como códigos do campo no Word e atualizações externas no Excel, pode ser automatizado para a facilidade do usuário. Por exemplo, os códigos de campo do Word podem ser usados para inserir automaticamente um parágrafo de aviso padrão em um documento legal. As atualizações externas do Excel podem ser usadas para atualizar automaticamente um gráfico em uma planilha usando dados em uma planilha diferente.

No entanto, é possível usar os códigos de campo e as atualizações externas de forma mal-intencionada para obter secretamente informações de um usuário. Alguns eventos podem fazer com que a atualização externa e o código de campo sejam atualizados: por exemplo, quando o usuário salva um documento ou atualiza manualmente os links. Geralmente, o usuário sabe quando essas atualizações ocorrem. No entanto, um código de campo criado especificamente ou uma atualização externa podem ser usados para liberar uma atualização sem indicá-la ao usuário. Isso pode permitir que um invasor crie um documento que, quando aberto, é automaticamente atualizado para incluir os conteúdos de um arquivo do computador local do usuário.

Para que um invasor se aproveite dessa vulnerabilidade, ele precisa:
  1. Criar um documento do Word ou do Excel que explore a vulnerabilidade.
  2. Entregá-lo ao usuário por email ou algum outro método.
  3. Fazer com que o usuário abra o documento.
O usuário deve retornar o documento ao invasor para que o ataque funcione corretamente.

No entanto, a Microsoft sabe de um caso em que o usuário não precisa fazer isso. Pelo método usado nesse caso, o documento do invasor pode enviar informações diretamente por meio de um site, embora apenas a primeira linha do arquivo possa ser enviada.
Voltar para o início | Submeter comentários

Resolução

Word 2002

Se usar o Word 2002, aplique o patch do Word 2002. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
329748
(http://support.microsoft.com/kb/329748/ )
WD2002: Visão geral da atualização do Word 2002: 16 de outubro de 2002

Excel 2002

Se você usar o Excel 2002, aplique o patch do Excel 2002. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
329750
(http://support.microsoft.com/kb/329750/ )
XL2002: Visão geral da atualização do Excel 2002 SP 2: 16 de outubro de 2002

Word 2000

Se você usar o Word 2000, aplique o patch do Word 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
329749
(http://support.microsoft.com/kb/329749/ )
WD2000: Visão geral da atualização do Word 2002 SP 2: 16 de outubro de 2002

Word 97 e a versão em japonês do Word 98 para Windows

Se você usa o Word 97 ou a versão em japonês do Word 98 para Windows, aplique o patch do Word 97 e da versão em japonês do Word 98 para Windows. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
330080
(http://support.microsoft.com/kb/330080/ )
WD97: O Word 97 é vulnerável às questões de segurança que estão documentadas na atualização do Word 2002: 16 de outubro de 2002

Word X para Mac, Word 2001 para Macintosh e Word 98 Macintosh Edition

Para saber como obter os patches para as versões Macintosh do Microsoft Word, visite o seguinte site da Microsoft:
http://www.microsoft.com/mac/downloads.aspx?pid=security
(http://www.microsoft.com/mac/downloads.aspx?pid=security)
(site em inglês)
Voltar para o início | Submeter comentários

Situação

A Microsoft confirmou que esse problema pode causar um certo grau de vulnerabilidade na segurança dos produtos Microsoft relacionados na seção "Aplica-se a" deste artigo.
Voltar para o início | Submeter comentários

Mais Informações

Para obter informações adicionais sobre essas vulnerabilidades, visite o seguinte site da Microsoft:
http://www.microsoft.com/mac/downloads.aspx
(http://www.microsoft.com/mac/downloads.aspx)
(site em inglês)
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 330008 - Última revisão: quinta-feira, 13 de abril de 2006 - Revisão: 7.1
A informação contida neste artigo aplica-se a:
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X para Macintosh
  • Microsoft Word 2001 para Mac
  • Microsoft Word 98 para Macintosh
  • Microsoft Word 98 Standard Edition
Palavras-chave: 
kbqfe kbhotfixserver kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início