Ένα ελάττωμα στο Microsoft Word μπορεί να επιτρέψει την αυτόματη εκτέλεση μακροεντολών

Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Συμπτώματα
Η μακροεντολή είναι μια σειρά εντολών και οδηγιών που ομαδοποιούνται ως μεμονωμένη εντολή για την αυτόματη εκτέλεση μιας εργασίας. Το Microsoft Word υποστηρίζει τη χρήση μακροεντολών, ώστε να επιτρέπεται η αυτοματοποίηση εργασιών που εκτελούνται συχνά. Οι μακροεντολές είναι εκτελέσιμος κώδικας και επομένως είναι πιθανή η εσφαλμένη χρήση τους. Το Word διαθέτει ένα μοντέλο ασφαλείας που έχει σχεδιαστεί για να επικυρώνει αν πρέπει να επιτρέπεται η εκτέλεση μιας μακροεντολής, ανάλογα με το επίπεδο ασφάλειας μακροεντολών που έχει επιλέξει ο χρήστης.

Υφίσταται θέμα ευπάθειας, επειδή μπορεί κάποιος εισβολέας να δημιουργήσει ένα επιβλαβές έγγραφο που θα παρακάμψει το μοντέλο ασφαλείας μακροεντολών. Εάν ανοίξει το έγγραφο, αυτό το ελάττωμα μπορεί να επιτρέψει την αυτόματη εκτέλεση μιας επιβλαβούς μακροεντολής που είναι ενσωματωμένη στο έγγραφο, ανεξάρτητα από το επίπεδο στο οποίο έχει οριστεί η ασφάλεια μακροεντολών. Η επιβλαβής μακροεντολή μπορεί να εκτελέσει τις ενέργειες για τις οποίες έχει δικαιώματα ο χρήστης, όπως η προσθήκη, η αλλαγή, η διαγραφή δεδομένων ή αρχείων, η επικοινωνία με μια τοποθεσία Web ή η διαμόρφωση του σκληρού δίσκου.

Μόνο ο εισβολέας που θα πείσει το χρήστη να ανοίξει ένα επιβλαβές έγγραφο μπορεί να εκμεταλλευτεί το θέμα ευπάθειας. Σε καμία περίπτωση ένας εισβολέας δεν μπορεί να επιβάλλει το άνοιγμα ενός επιβλαβούς εγγράφου.

Παράγοντες που αμβλύνουν τις επιπτώσεις
  • Ο χρήστης πρέπει να ανοίξει το επιβλαβές έγγραφο για να είναι επιτυχής η προσπάθεια του εισβολέα. Ο εισβολέας δεν μπορεί να επιβάλλει το αυτόματο άνοιγμα του εγγράφου.
  • Δεν μπορεί να γίνει αυτόματη εκμετάλλευση του θέματος ευπάθειας μέσω ηλεκτρονικού ταχυδρομείου. Ο χρήστης πρέπει να ανοίξει το συνημμένο που του έχει σταλεί μέσω ηλεκτρονικού ταχυδρομείου, για να είναι επιτυχής η επίθεση μέσω ηλεκτρονικού ταχυδρομείου.
  • Από προεπιλογή, το Microsoft Outlook Express 6.0 και το Microsoft Outlook 2002 εμποδίζουν την πρόσβαση μέσω προγραμματισμού στα Βιβλία διευθύνσεων (Address Book). Επιπλέον, το Microsoft Outlook 98 και το Microsoft Outlook 2000 εμποδίζουν την πρόσβαση μέσω προγραμματισμού στο Βιβλίο διευθύνσεων του Outlook (Outlook Address Book), εάν έχει εγκατασταθεί η ενημερωμένη έκδοση ασφαλείας για το ηλεκτρονικό ταχυδρομείο του Outlook. Οι πελάτες που χρησιμοποιούν οποιοδήποτε από αυτά τα προϊόντα δεν κινδυνεύουν από τη μεταβίβαση μιας επίθεσης μέσω ηλεκτρονικού ταχυδρομείου, η οποία προσπάθησε να εκμεταλλευτεί αυτό το θέμα ευπάθειας.
  • Αυτό το θέμα ευπάθειας επηρεάζει μόνο το Microsoft Word – δεν επηρεάζονται άλλα προϊόντα της οικογένειας προϊόντων του Microsoft Office.
Προτεινόμενη αντιμετώπιση

Πληροφορίες ενημερωμένης έκδοσης κώδικα ασφαλείας

Πληροφορίες λήψης και εγκατάστασης

Word 2002

Αν εκτελείτε το Word 2002, εφαρμόστε την ενημερωμένη έκδοση κώδικα του Word 2002.

Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
824934 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Word 2002: 3 Σεπτεμβρίου 2003
Επιστροφή στην αρχή

Word 2000

Αν εκτελείτε το Word 2000, εφαρμόστε την ενημερωμένη έκδοση κώδικα του Word 2000.

Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
824936 Επισκόπηση της ενημερωμένης έκδοσης κώδικα ασφαλείας του Word 2000: 3 Σεπτεμβρίου 2003
Επιστροφή στην αρχή

Word 97 και Word για Windows 98 (Ιαπωνική έκδοση)


Εάν χρησιμοποιείτε Word 97 ή Word για Windows 98 Ιαπωνική έκδοση, εφαρμόστε την ενημερωμένη έκδοση κώδικα του Word 97 ή του Word για Windows 98 Ιαπωνική έκδοση.

Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
827647 Επισκόπηση της επείγουσας επιδιόρθωσης ασφαλείας του Word 97: 3 Σεπτεμβρίου 2003
Επιστροφή στην αρχή

Works Suite

Αν εκτελείτε το Microsoft Works Suite, πρέπει να χρησιμοποιήσετε το Office Update για εντοπισμό και εγκατάσταση της κατάλληλης ενημερωμένης έκδοσης κώδικα. Για να προβάλετε το Office Update, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά): Επιστροφή στην αρχή

Πληροφορίες κατάργησης

Δεν είναι δυνατή η κατάργηση αυτής της ενημερωμένης έκδοσης κώδικα.

Πληροφορίες αντικατάστασης ενημερωμένης έκδοσης κώδικα

Αυτή η ενημερωμένη έκδοση κώδικα δεν αντικαθιστά άλλες επείγουσες επιδιορθώσεις.
Αναφορές
Για περισσότερες πληροφορίες σχετικά με αυτά τα θέματα ευπάθειας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
ενημερωμένη έκδοση κώδικα ασφαλείας MS03-035
Ιδιότητες

Αναγνωριστικό άρθρου: 827653 - Τελευταία αναθεώρηση: 02/26/2014 18:19:26 - Αναθεώρηση: 2.4

Microsoft Word 2002 Standard Edition, Microsoft Word 2000 Standard Edition, Microsoft Word 98 Standard Edition, Microsoft Word 97 Standard Edition, Microsoft Works Suite 2001 Standard Edition, Microsoft Works Suite 2002 Standard Edition, Microsoft Works Suite 2003 Standard Edition

  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827653
Σχόλια