Virhe Word-kentissä ja ulkoisissa Excel-päivityksissä saattaa johtaa tietojen altistumiseen muille käyttäjille

Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Oire
Microsoft Word ja Microsoft Excel sisältävät mekanismin, jonka avulla toisen asiakirjan tietoja voidaan lisätä toiseen asiakirjaan ja päivittää siinä. Tämä toteutetaan Wordissa kenttäkoodien avulla ja Excelissä ulkoisilla päivityksillä. Molemmat tavat voidaan automatisoida käytön helpottamiseksi. Esimerkiksi Wordissa juridiseen asiakirjaan voidaan lisätä vastuuvapautuslauseke kenttäkoodien avulla. Excelissä voidaan käyttää ulkoisia päivityksiä, kun esimerkiksi tietty laskentataulukon kaavio halutaan päivittää toisen laskentataulukon tiedoilla.

Sekä kenttäkoodeja että ulkoisia päivityksiä voidaan kuitenkin käyttää väärin tietojen varastamiseksi käyttäjältä. Tietyt tapahtumat voivat käynnistää ulkoisen päivityksen tai kenttäkoodien päivittämisen. Tällaisia tapahtumia voivat olla esimerkiksi asiakirjan tallentaminen tai linkkien päivittäminen manuaalisesti. Yleensä käyttäjä on tietoinen päivityksistä niiden tapahtuessa. Tietyllä tavalla luotua kenttäkoodia tai ulkoista päivitystä voidaan kuitenkin käyttää niin, että päivitys tapahtuu käyttäjän tietämättä. Tämä mahdollistaa sen, että hyökkääjä voi luoda asiakirjan, joka avaamisensa yhteydessä päivittää itseensä käyttäjän tietokoneen sisältämän tiedoston sisällön.

Jotta hyökkääjä voisi hyödyntää tätä heikkoutta, hänen täytyy tehdä seuraavat toimet:
  1. Luoda heikkoutta hyödyntävä Word- tai Excel-asiakirja.
  2. Toimittaa se käyttäjälle sähköpostitse tai jollakin muulla menetelmällä.
  3. Saada käyttäjä avaamaan asiakirja.
Käyttäjän on lisäksi yleensä palautettava asiakirja hyökkääjälle, jotta hyökkäys onnistuisi.

Microsoft on kuitenkin tietoinen yhdestä tapauksesta, jossa hyökkäys on onnistunut, vaikka käyttäjä ei ole palauttanut asiakirjaa. Tässä tapauksessa käytetyn menetelmän avulla hyökkääjän asiakirja voi lisätä tietoja suoraan Web-sivustoon, vaikka vain tiedoston ensimmäisen rivin lähettäminen sallitaan.
Ratkaisu

Word 2002

Jos käytössäsi on Word 2002, asenna Word 2002 -korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
329748 Word 2002 Service Pack 2 -päivityksen 16.10.2002 kuvaus
Palaa alkuun

Excel 2002

Jos käytössäsi on Excel 2002, asenna Excel 2002 -korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
329750 XL2002: Excel 2002 SP-2 -päivityksen yleiskatsaus: 16.10.2002
Palaa alkuun

Word 2000

Jos käytössäsi on Word 2000, asenna Word 2000 -korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
329749 WD2000: Word 2000 SR-1 -päivityksen yleiskatsaus: 16.10.2002
Palaa alkuun

Word 97 ja Windows Word 98:n japaninkielinen versio

Jos käytät Word 97:ää tai Windows Word 98:n japaninkielistä versiota, asenna Word 97:n ja japaninkielisen Windows Word 98:n korjaustiedosto. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
330080 WD97: Word 97 on alttiina tietoturvatiedotteessa MS02-059 käsitellyille suojausheikkouksille (tämä artikkeli saattaa olla englanninkielinen)
Palaa alkuun

Word X for Mac, Word 2001 for Macintosh, Word 98 Macintosh Edition

Tietoja korjaustiedostojen hankkimisesta Microsoft Wordin Macintosh-versioita varten on seuraavassa Microsoftin Web-sivustossa: Palaa alkuun
Tila
Microsoft on vahvistanut, että tämä ongelma saattaa aiheuttaa jonkinasteisen suojausheikkouden artikkelin alussa luetelluissa Microsoftin tuotteissa.
Enemmän tietoa
Lisätietoja näistä heikkouksista on seuraavassa Microsoftin Web-sivustossa:
tietoturvakorjaus MS02-059
Ominaisuudet

Artikkelin tunnus: 330008 – Viimeisin tarkistus: 02/27/2014 02:09:21 – Versio: 6.6

  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002 Standard Edition
  • Microsoft Word 2000 Standard Edition
  • Microsoft Word 97 Standard Edition
  • Microsoft Macintosh Word X
  • Microsoft Macintosh Word 2001
  • Microsoft Macintosh Word 98
  • Microsoft Word 98 Standard Edition
  • kbnosurvey kbarchive kbqfe kbhotfixserver kbfield kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Palaute