Ошибка в полях Microsoft Word и внешних обновлениях Microsoft Excel может послужить причиной раскрытия информации

Переводы статьи Переводы статьи
Код статьи: 330008 - Vizualiza?i produsele pentru care se aplic? acest articol.
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Развернуть все | Свернуть все

В этой статье

Проблема

Приложения Microsoft Word и Microsoft Excel предоставляют возможность помещать данные одного документа в другой и обновлять их. В Microsoft Word данная возможность реализуется с помощью кодов полей, а в Microsoft Excel — с помощью внешних обновлений. Для удобства пользователей этот процесс может быть автоматизирован. Например, используя коды полей Microsoft Word, можно автоматически вставить в юридический документ пункт об отказе от гарантий, а с помощью внешних обновлений Microsoft Excel можно автоматически обновлять диаграмму в одной таблице, используя данные другой таблицы.

Однако злоумышленник может воспользоваться данной возможностью для хищения конфиденциальной информации пользователя. Некоторые события могут вызывать выполнение внешних обновлений или обновлений кодов полей (например, сохранение документа пользователем или ручное обновление ссылок). Как правило, пользователю сообщается о выполнении подобных обновлений. Однако, используя созданные особым образом коды полей или внешние обновления, можно выполнить обновление, не извещая пользователя. Это дает возможность злоумышленнику создать документ, при открытии которого в него будет включаться содержимое файлов локального компьютера.

Чтобы воспользоваться данной уязвимостью, злоумышленник должен выполнить следующие действия.
  1. Создать документ Microsoft Word или Microsoft Excel, использующий указанную уязвимость.
  2. Отправить созданный документ пользователю по электронной почте или другим способом.
  3. Побудить пользователя открыть этот документ.
Как правило, для успешного завершения атаки необходимо, чтобы пользователь вернул данный документ злоумышленнику.

Однако существует способ обойти данное ограничение. Используя этот способ, злоумышленник может создать документ, который будет автоматически отправлять информацию на веб-узел. При этом на веб-узел может быть отправлена только первая строка файла.

Решение

Word 2002

При работе с Word 2002 используйте исправление для Word 2002. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
329748 WD2002: Обзор обновления Word 2002 от 16 октября 2002 г.

Excel 2002

При работе с Excel 2002 используйте исправление для Excel 2002. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
329750 XL2002: Обзор пакета обновления 2 (SP2) для Excel 2002 от 16 октября 2002 г.

Word 2000

При работе с Word 2000 используйте исправление для Word 2000. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
329749 WD2000: Обзор обновления для Word 2002 с набором исправлений 1 (SR-1), 16 октября 2002 г.

Word 97 и японская версия Word 98 для Windows

При работе с Word 97 или японской версией Word 98 для Windows используйте исправления для Word 97 и японской версии Word 98 для Windows. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
330080 WD97: Уязвимости Word 97, описанные в бюллетене по безопасности MS02-059

Word X для Mac, Word 2001 для Macintosh, Word 98 Macintosh Edition

Сведения о получении обновления для версий Microsoft Word для компьютеров Macintosh см. на веб-узле Майкрософт по следующему адресу:
http://www.microsoft.com/mac/downloads.aspx?pid=security

Статус

Данное поведение является подтвержденной уязвимостью продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к:» данной статьи.

Дополнительная информация

Дополнительные сведения об этой уязвимости см. на веб-узле Майкрософт по адресу:
http://www.microsoft.com/mac/downloads.aspx

Свойства

Код статьи: 330008 - Последний отзыв: 21 февраля 2014 г. - Revision: 6.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X for Macintosh
  • Microsoft Word 2001 for Mac
  • Microsoft Word 98 for Macintosh
  • Microsoft Word 98 Standard Edition
Ключевые слова: 
kbnosurvey kbarchive kbqfe kbhotfixserver kbfield kbqfe kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com