Уязвимость в программных приложениях Word и Excel

16 октября 2002
[16.10.2002]
Еще одна уязвимость обнаружена в программных приложениях к операционным системам семейства Windows компании Microsoft, отчет о которой опубликован в бюллетене компании MS02-059 16 октября 2002 г. Уязвимости присвоен статус "умеренной" в силу небольшой опасности для пораженных машин.

Дефекты в программных приложениях Word и Excel могут привести к утечке информации

Уязвимыми являются программные приложения Microsoft Word 2002, Microsoft Word 2000, Microsoft Word 97, Microsoft Word 98(J), Microsoft Word X для Macintosh, Microsoft Word 2001 для Macintosh, Microsoft Word 98 для Macintosh и Microsoft Excel 2002.
Уязвимостью можно воспользоваться только в том случае, если известно точное местонахождение искомого файла в компьютере жертвы. Ею невозможно воспользоваться для удаления информации из компьютера, внесения изменений в файлы данных или для помещения других файлов в систему.

В программных приложениях Word и Excel содержится механизм, посредством которого данные из одного документа могут быть вставлены в другой документ. Этот механизм, известный под названием field codes в Word и external updates в Excel, может быть автоматизирован для сокращения ручной работы. Уязвимость состоит в том, что существует возможность злоумышленно использовать данный механизм для похищения информации с компьютера пользователя без его ведома. В процессе сохранения документа или ручного обновления ссылки происходит обновление field code и external update. Обычно пользователь знает о происходящем обновлении, однако, при определенных настройках этот процесс может становиться незаметным для пользователя системы. В таком случае хакер может создать документ, который при его открытии сам обновится и включит в себя содержание из определенного файла с компьютера пользователя.

Сценарий проведения атаки с использованием данной уязвимости должен быть примерно следующим. Сначала хакеру надо будет создать документ в формате Word или Excel, использующий данную уязвимость, доставить его пользователю и убедить открыть этот документ. Естественно, для успешного завершения атаки хакеру каким-то образом необходимо заставить пользователя возвратить ему документ с украденной информацией.

ЗАО "ДиалогНаука" настоятельно советует всем пользователям данных приложений загрузить и установить на своих компьютерах патчи, опубликованный компанией Microsoft:
для Microsoft Word 2002
для Microsoft Word 2000
для Word 97/Word 98(J)
для Word X for Macintosh
для Word 2001 for Macintosh
для Word 98 for Macintosh
для Excel 2002

227
;