Fout in Word-velden en externe updates voor Excel leidt tot het vrijgeven van informatie

Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Symptomen
Microsoft Word en Microsoft Excel zijn voorzien van een mechanisme waardoor gegevens van een document kunnen worden ingevoegd en bijgewerkt in een ander document. Dit mechanisme, dat veldcodes heet in Word en externe updates in Excel, kan worden geautomatiseerd ten behoeve van de gebruiker. Veldcodes in Word kunnen bijvoorbeeld worden gebruikt om automatisch een standaardvrijwaringstekst in een juridisch document in te voegen. Externe updates voor Excel kunnen worden gebruikt om automatisch een grafiek in een werkblad bij te werken met gegevens uit een ander werkblad.

Het is echter mogelijk om veldcodes en externe updates op schadelijke wijze toe te passen om een gebruiker heimelijk informatie te ontfutselen. Bepaalde gebeurtenissen kunnen tot gevolg hebben dat de externe update en de veldcode worden bijgewerkt, bijvoorbeeld wanneer de gebruiker een document opslaat of de koppelingen handmatig bijwerkt. In principe merkt de gebruiker dat deze updates plaatsvinden. Er kan echter een speciaal vervaardigde veldcode of externe update worden gebruikt om een update in gang te zetten zonder dat de gebruiker daar erg in heeft. Hierdoor kan een aanvaller een document maken dat zichzelf bijwerkt wanneer het wordt geopend, zodat het de inhoud van een bestand van de lokale computer van de gebruiker bevat.

Als een aanvaller dit beveiligingslek wil misbruiken, moet de aanvaller het volgende doen:
  1. Een Word- of Excel-document maken waarin dit beveiligingslek wordt misbruikt.
  2. Dit document via e-mail of een andere methode bij de gebruiker afleveren.
  3. De gebruiker ertoe zien te bewegen het document te openen.
Voor een geslaagde aanval moet de gebruiker het document terugsturen naar de aanvaller.

Microsoft is echter op de hoogte van een geval waarin de gebruiker dat zelfs niet eens hoeft te doen. Via de methode die in het betreffende geval wordt gebruikt, kan informatie uit het document van de aanvaller rechtstreeks op een website worden gezet, hoewel daarbij alleen de eerste regel van het bestand kan worden verzonden.
Oplossing

Word 2002

Als u Word 2002 gebruikt, past u de Word 2002-patch toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
329748 Beschrijving van de update Word 2002 Service Pack 2: 16 oktober 2002
Terug naar begin

Excel 2002

Als u Excel 2002 gebruikt, past u de Excel 2002-patch toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
329750 Excel 2002: Overzicht van de Excel 2002 SP-2-update: 16.10.02
Terug naar begin

Word 2000

Als u Word 2000 gebruikt, past u de Word 2000-patch toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
329749 Word 2000: Overzicht van de update voor Word 2000 SR-1: 16 oktober 2002
Terug naar begin

Word 97 en de Japanse versie van Word 98 voor Windows

Als u Word 97 of de Japanse versie van Word 98 voor Windows gebruikt, past u de patch voor Word 97 of de Japanse versie van Word 98 voor Windows toe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
330080 Word 97: Word 97 is gevoelig voor beveiligingsproblemen die worden beschreven in MS02-059
Terug naar begin

Word X voor Mac, Word 2001 voor Macintosh en Word 98 Macintosh Edition

Voor informatie over het ophalen van patches voor de Macintosh-versies van Microsoft Word, gaat u naar de volgende Microsoft-website: Terug naar begin
Status
Microsoft heeft bevestigd dat dit probleem een beveiligingslek kan veroorzaken in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op' van dit artikel.
Meer informatie
Voor meer informatie over deze beveiligingsproblemen gaat u naar de volgende Microsoft-website:
security_patch MS02-059:
Eigenschappen

Artikel-id: 330008 - Laatst bijgewerkt: 02/27/2014 02:09:21 - Revisie: 7.1

Microsoft Excel 2002 Standard Edition, Microsoft Word 2002 Standard Edition, Microsoft Word 2000 Standard Edition, Microsoft Word 97 Standard Edition, Microsoft Word X voor Macintosh, Microsoft Word 2001 voor Mac, Microsoft Word 98 voor Macintosh, Microsoft Word 98 Standard Edition

  • kbnosurvey kbarchive kbqfe kbhotfixserver kbfield kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Feedback