MS03-036: Bufferoverløb i WordPerfect-konverteringsprogram kan tillade kørsel af programkode

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 827103 - Få vist de produkter, som denne artikel refererer til.
Denne artikel er blevet arkiveret. Den vises "som den er og forefindes" og opdateres ikke længere.
Udvid alle | Skjul alle

På denne side

Symptomer

Ved hjælp af de konverteringsprogrammer, der følger med Microsoft Office, er det muligt at importere og redigere filer i andre formater end dem, som benyttes i Office. Disse konverteringsprogrammer leveres som en del af standardinstallationen til Office, men de findes også i Microsoft Office Converter Pack. De kan være nyttige i organisationer, der anvender Office i et blandet miljø med tidligere versioner af Office og andre programmer, herunder Office til Macintosh og produktivitetsprogrammer fra tredjepart.

Der er en fejl i den måde, hvorpå Microsoft WordPerfect-konverteringsprogrammet håndterer Corel WordPerfect-dokumenter. Der eksisterer en sikkerhedssvaghed, idet konverteringsprogrammet ikke validerer visse parametre korrekt, når det åbner et WordPerfect-dokument, og det medfører en ukontrolleret buffer. En angriber kunne derfor udforme et skadeligt WordPerfect-dokument, som udfører angriberens kode, når et program, der anvender WordPerfect-konverteringsprogrammet, åbner dokumentet. Microsoft Word og Microsoft PowerPoint (som er en del af Office-pakken), FrontPage (enten som en del af Office-pakken eller separat), Publisher og Microsoft Works Suite kan anvende Microsoft Office WordPerfect-konverteringsprogrammet.

Denne svaghed kan kun udnyttes af en angriber, som overtaler en bruger til at åbne et skadeligt WordPerfect-dokument. En angriber kan ikke tvinge en bruger til at åbne et skadeligt dokument, og en angriber kan ikke udnytte denne svaghed til automatisk at udløse et angreb via e-mail.
Formildende faktorer
  • Brugeren skal åbne det skadelige dokument, for at et angreb kan lykkes. En angriber kan ikke tvinge et dokument til at blive åbnet automatisk.
  • Svagheden kan ikke udnyttes automatisk via e-mail. En bruger skal åbne en fil, der er vedhæftet en e-mail, for at et angreb via e-mail lykkes.
  • Som standard blokerer Microsoft Outlook Express 6.0 og Microsoft Outlook 2002 programmeringsmæssig adgang til adressekartoteker. Desuden blokerer Microsoft Outlook 98 og Microsoft Outlook 2000 programmeringsmæssig adgang til Outlook-adressekartoteket, hvis sikkerhedsrettelsen til Outlook E-mail er installeret. Kunder, der anvender et af disse produkter, risikerer ikke noget angreb via e-mails, som skal udnytte denne svaghed.

Løsning

Oplysninger om sikkerhedsrettelse

Oplysninger om overførsel og installation

Hvis du anvender et eller flere af følgende programmer
  • Microsoft Office XP
  • Microsoft FrontPage 2002
  • Microsoft Publisher 2002
  • Microsoft Works 2003
  • Microsoft Works 2002
skal du læse følgende artikel i Microsoft Knowledge Base:
824938 Oversigt over sikkerhedsrettelse til konverteringsprogram til Office XP WordPerfect 5.x: 3. september 2003


Hvis du anvender et eller flere af følgende programmer
  • Microsoft Office 2000
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Works 2001
skal du læse følgende artikel i Microsoft Knowledge Base:
824993 Oversigt over sikkerhedsrettelsen til WordPerfect 5.x-konverteringsprogrammet i Office 2000: 3. september 2003


Hvis du kører et af følgende programmer
  • Microsoft Office 97
  • Microsoft Word til Windows 98 (japansk)
skal du læse følgende artikel i Microsoft Knowledge Base for at få yderligere oplysninger:
827656 Overview of the Office 97 WordPerfect 5.x Converter Security Patch: 3. september 2003


Fjernelse af programrettelse


Du kan ikke fjerne denne programrettelse.

Oplysninger om erstatning af programrettelser


Denne programrettelse erstatter ikke andre sikkerhedsrettelser.

Referencer

Yderligere oplysninger om disse svagheder finder du på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS03-036.asp

Egenskaber

Artikel-id: 827103 - Seneste redigering: 26. februar 2014 - Redigering: 3.1
Oplysningerne i denne artikel gælder:
  • Microsoft Office XP Standard Edition
  • Microsoft Office 2000 Standard
  • Microsoft Office 97 Standard
  • Microsoft Word 98 Standard
  • Microsoft FrontPage 2002 Standard
  • Microsoft FrontPage 2000 Standard
  • Microsoft Publisher 2002 Standard
  • Microsoft Publisher 2000 Standard
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
Nøgleord: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com