Natália
-3 °C
7 °C

Új Office javítás

2002.06.25. 15:28
Kapcsolódó cikkek (1)
Nem múlik el egyetlen hét sem, hogy ne jelenne meg újabb biztonsági javítás vagy biztonsági célú szoftverkészlet. A legelterjedtebb irodai szoftvercsomag is igen gyakran szerepel a híradásokban. A redmondi fejlesztők most ismét befoltoztak egy lyukat.
A most megjelent biztonsági javítás az Access, az Excel és a Word mostanában felismert hibáira, valamint egy HTML-script-el kapcsolatos problémára ad megoldást. Az érintett változatok: Excel 2000, Office 2000, Excel 2002, Word 2002, Office XP.

A készlet valójában négy olyan hiányosságot szüntet meg, mely lehetővé teszi, hogy egy támadó makrót futtathasson bármely felhasználó gépén. Mint ismeretes a makrók segítségével a felhasználó jogosultságának függvényében szinte bármilyen műveletet el lehet végezni.

Excel

Az Excel-t valójában háromszorosan is érinti az új javítókészlet. Mindegyik hiba valamilyen módon a scriptek és makrók világát érinti. Az is közös bennük, hogy hátulról kerülik meg a beépített védelmi vonalakat.

Tekintsük át egyenként a fontosabb réseket.

Az első elhárított hiányosság lehetővé tette makrók futtatását a Macro Security Model megkerülésével. A védelmet a munkalapra helyezett objektumra való kattintással lehetett kikerülni.

A második probléma szintén a közvetett használat során jelentkezett. Ha egy hivatkozáson (linken) keresztül került megnyitásra a munkafüzet, akkor a makrókra vonatkozó biztonsági beállítások nem érvényesültek megfelelőképpen.

A harmadik Excel-lel kapcsolatos biztonsági rés akkor jelentkezett, ha HTML-scriptet tartalmazó XSL stíluslappal kapcsolt munkafüzetet nyitottunk meg. A probléma lényegét az adja, hogy a stíluslapon belül található scriptek helyi szabályok szerint kerültek futtatásra.

Word és Access

A negyedik probléma együttesen érinti a Word-öt és az Access-t. Csak akkor jelentkezik, ha mindkét program telepítve van a gépen. A Word Mail Merge-el kapcsolatos egyik hiányosság kihasználása révén a támadó automatikusan futtathat egy makrót, ha HTML formátumban mentett, e-mailbe illesztett dokumentumot nyitnak meg.

Független hazai szakértők véleménye szerint az ilyen kerülőutakból eredő hiányosságok más programokban is nagy számmal jelentkezhetnek, sőt úgy vélik, hogy az Office is tartogat még meglepetéseket a fejlesztők számára.

Egyikőjük említést tett arról, hogy az egyik hazai banknál történt már az Excel-objektum hiányosság kihasználásával szándékos károkozás.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Fergeteges Szilveszter

Fantasztikus szilveszteri vacsorával, hajnalig tartó bulikban, ismert sztárokkal töltheti el az év utolsó éjszakáját.