Microsoft Wordin virhe saattaa sallia makrojen automaattisen suorittamisen

Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Oire
Makro on sarja komentoja ja ohjeita, jotka ryhmität yksittäiseksi komennoksi, jonka avulla voit suorittaa haluamasi tehtävän automaattisesti. Microsoft Word tukee makrojen käyttämistä säännöllisesti suoritettavien tehtävien automatisoimiseksi. Koska makrot ovat suoritettavaa koodia, niitä voidaan käyttää väärin. Siksi Wordilla on suojausmalli, joka on suunniteltu vahvistamaan, sallitaanko makron suorittaminen. Tämä tehdään käyttäjän valitseman makrosuojauksen tason avulla.

Tähän liittyy kuitenkin heikkous, joka johtuu siitä, että hyökkääjä voi luoda haitalliseksi suunnitellun asiakirjan, joka ohittaa makrosuojausmallin. Jos asiakirja avataan, tämä virhe saattaa sallia asiakirjaan upotetun haitalliseksi suunnitellun makron automaattisen suorittamisen huolimatta makrosuojauksen tason asetuksesta. Haitalliseksi suunniteltu makro voi tehdä toimia, joihin käyttäjällä on käyttöoikeudet. Esimerkkejä näistä ovat tietojen tai tiedostojen lisääminen, muuttaminen tai poistaminen, tietojen vaihtaminen Web-sivuston kanssa ja kiintolevyn alustaminen.

Tätä heikkoutta voi hyödyntää vain hyökkääjä, joka saa käyttäjän avaamaan haitalliseksi suunnitellun asiakirjan. Hyökkääjä ei voi millään tavalla pakottaa haitalliseksi suunniteltua asiakirjaa avautumaan.

Riskiä pienentävät tekijät
  • Käyttäjän on avattava haitalliseksi suunniteltu asiakirja, jotta hyökkäys onnistuisi. Hyökkääjä ei voi pakottaa asiakirjaa avautumaan automaattisesti.
  • Tätä heikkoutta ei voi hyödyntää automaattisesti sähköpostin välityksellä. Käyttäjän on avattava sähköpostitse lähetetty liite, jotta sähköpostitse tehtävä hyökkäys onnistuisi.
  • Oletusarvoisesti Microsoft Outlook Express 6.0 ja Microsoft Outlook 2002 estävät osoitteistojensa ohjelmallisen käyttämisen. Lisäksi Microsoft Outlook 98 ja Microsoft Outlook 2000 estävät Outlook-osoitteiston ohjelmallisen käyttämisen, jos Outlookin tietoturvapäivitys on asennettu. Asiakkaat, jotka käyttävät jotakin näistä tuotteista, eivät ole alttiina sähköpostiviestejä käyttävälle hyökkäykselle, joka yrittää hyödyntää tätä heikkoutta.
  • Tämä heikkous vaikuttaa vain Microsoft Wordiin, ei muihin Microsoft Office -tuoteperheen ohjelmiin.
Ratkaisu

Tietoturvakorjauksen tiedot

Lataamis- ja asentamistiedot

Word 2002

Jos käytössäsi on Word 2002, asenna Word 2002 -korjaustiedosto.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
824934 Word 2002 -tietoturvakorjauksen 3.9.2003 yleiskatsaus
Palaa alkuun

Word 2000

Jos käytössäsi on Word 2000, asenna Word 2000 -korjaustiedosto.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
824936 Word 2000 -tietoturvakorjauksen 3.9.2003 yleiskatsaus
Palaa alkuun

Word 97 ja Word for Windows 98 (japaninkielinen)


Jos käytössäsi on joko Word 97 tai Word for Windows 98 (japaninkielinen), asenna Word 97 tai Word for Windows 98 (japaninkielinen) -korjaustiedosto.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
827647 Word 97 -tietoturvakorjauksen 3.9.2003 yleiskatsaus
Palaa alkuun

Works Suite

Jos käytössäsi on Microsoft Works Suite, etsi ja asenna sopiva korjaustiedosto Office Update -sivuston avulla. Voit tarkastella Office Updatea seuraavassa Microsoftin Web-sivustossa: Palaa alkuun

Poistamistiedot

Tätä korjaustiedostoa ei voi poistaa.

Korjaustiedoston korvaustiedot

Tämä korjaustiedosto ei korvaa mitään muita korjaustiedostoja.
Suositukset
Lisätietoja näistä heikkouksista on seuraavassa Microsoftin Web-sivustossa:
tietoturvakorjaus MS03-035
Ominaisuudet

Artikkelin tunnus: 827653 – Viimeisin tarkistus: 02/26/2014 18:19:26 – Versio: 2.4

Microsoft Word 2002 Standard Edition, Microsoft Word 2000 Standard Edition, Microsoft Word 98 Standard Edition, Microsoft Word 97 Standard Edition, Microsoft Works Suite 2001 Standard Edition, Microsoft Works Suite 2002 Standard Edition, Microsoft Works Suite 2003 Standard Edition

  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827653
Palaute