Luki w polach programu Word i aktualizacjach zewnętrznych programu Excel mogą prowadzić do ujawnienia informacji

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Symptomy
W programach Microsoft Word i Microsoft Excel istnieje mechanizm, dzięki któremu dane z jednego dokumentu można wstawić do innego dokumentu, a następnie je w nim zaktualizować. Mechanizm ten, który w programie Word jest znany jako kody pól, a w programie Excel jako aktualizacje zewnętrzne, można zautomatyzować, aby ułatwić jego obsługę. Kody pól programu Word mogą na przykład służyć do automatycznego wstawiania standardowego akapitu zastrzeżeń w dokumentach prawnych. Aktualizacje zewnętrzne programu Excel mogą służyć do automatycznego aktualizowania wykresu w jednym arkuszu kalkulacyjnym przy użyciu danych z innego arkusza kalkulacyjnego.

Kody pól i aktualizacje zewnętrzne mogą jednak zostać użyte złośliwie do potajemnej kradzieży informacji użytkownika. Aktualizację zewnętrzną i aktualizację kodu pola mogą wyzwolić pewne zdarzenia: na przykład zapisanie dokumentu przez użytkownika lub ręczne zaktualizowanie łączy. Zwykle użytkownik jest informowany o występowaniu takich aktualizacji. Jednak specjalnie zmodyfikowany kod pola lub aktualizacja zewnętrzna mogą posłużyć do wyzwolenia aktualizacji bez żadnego powiadomienia użytkownika. W takiej sytuacji atakujący może utworzyć dokument, który po otwarciu zaktualizuje się, dołączając zawartość pliku z komputera użytkownika.

Aby wykorzystać tę lukę, atakujący musi:
  1. Utworzyć dokument programu Word lub Excel wykorzystujący tę lukę.
  2. Dostarczyć go do użytkownika przy użyciu poczty e-mail lub za pomocą innej metody.
  3. Nakłonić użytkownika do otwarcia dokumentu.
Następnie, aby atak zakończył się powodzeniem, użytkownik musi odesłać dokument atakującemu.

Należy jednak zwrócić uwagę, że firmie Microsoft zgłoszono jeden przypadek, w którym odesłanie dokumentu przez użytkownika nie było konieczne. W tym przypadku atakujący użył metody polegającej na ogłoszeniu informacji znajdujących się w dokumencie bezpośrednio w witrynie sieci Web, mimo że zezwolenie wydano tylko na przesłanie pierwszego wiersza pliku.
Rozwiązanie

Word 2002

Jeśli korzystasz z programu Word 2002, zastosuj poprawkę dla programu Word 2002. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
329748 WD2002: Omówienie aktualizacji programu Word 2002 z dodatkiem SP-2: 16 października 2002
Powrót do początku

Excel 2002

Jeśli korzystasz z programu Excel 2002, zastosuj poprawkę dla programu Excel 2002. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
329750 XL2002: Omówienie aktualizacji dodatku Excel 2002 SP-2 z 16 października 2002
Powrót do początku

Word 2000

Jeśli korzystasz z programu Word 2000, zastosuj poprawkę dla programu Word 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
329749 WD2000: Omówienie aktualizacji dodatku Word 2000 SR-1 z 16 października 2002
Powrót do początku

Word 97 i japońska wersja programu Word 98 dla systemu Windows

Jeśli korzystasz z programu Word 97 lub japońskiej wersji programu Word 98 dla systemu Windows, zastosuj poprawkę dla programu Word 97 i japońskiej wersji programu Word 98 dla systemu Windows. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base.
330080 WD97: Program Word 97 jest narażony na problemy zabezpieczeń udokumentowane w biuletynie MS02-059
Powrót do początku

Word X dla komputerów Macintosh, Word 2001 dla komputerów Macintosh, Word 98 Wydanie dla komputerów Macintosh

Aby uzyskać informacje dotyczące pobierania poprawek dla programu Microsoft Word w wersjach dla komputerów Macintosh, odwiedź następującą witrynę firmy Microsoft w sieci Web: Powrót do początku
Stan
Firma Microsoft potwierdziła, że ten problem może stanowić pewną lukę w zabezpieczeniach produktów firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą” tego artykułu.
Więcej informacji
Aby uzyskać więcej informacji na temat tych luk, odwiedź następującą witrynę firmy Microsoft w sieci Web:
poprawka_zabezpieczeń MS02-059:
Właściwości

Identyfikator artykułu: 330008 — ostatni przegląd: 02/27/2014 05:23:22 — zmiana: 6.4

Microsoft Excel 2002 Standard Edition, Microsoft Word 2002 Standard Edition, Microsoft Word 2000 Standard Edition, Microsoft Word 97 Standard Edition, Microsoft Word X for Macintosh, Microsoft Word 2001 for Mac, Microsoft Word 98 for Macintosh, Microsoft Word 98 Standard Edition

  • kbnosurvey kbarchive kbfield kbqfe kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
Opinia