Все новости от 29 мая 2002 г. Дыра Гунинского в Microsoft Excel
Брешь в защите электронной таблицы Microsoft Excel XP позволяет хакерам получить контроль над чужим ПК, применяя составленные особым образом таблицы стилей XML.
Как сообщил секьюрити-эксперт Георгий Гунинский, проблема проявляется, когда пользователь открывает файл электронной таблицы Excel и выбирает режим просмотра с таблицей стилей XML. Если в таблице стилей содержится специальный код, то ПК попытается его выполнить, говорится на веб-сайте Гунинского.
«Как известно любителям скриптов, это может привести к полному перехвату злоумышленником контроля над компьютером пользователя, — пишет он. — Excel никак не предупреждает об этом — он просто спрашивает, использовать таблицу стилей или нет». Правда, добавляет Гунинский, по умолчанию Excel отображает файлы без использования таблицы стилей.
На сайте Гунинского приведен пример кода, который обманывает Excel XP, подбрасывая под видом ссылки на таблицу стилей команду, выводящую на экран содержимое каталога из ПК пользователя.
В целях безопасности Гунинский не рекомендует пользоваться таблицами стилей XML. По его словам, Microsoft получила сообщение об этой ошибке 23 мая, но не отреагировала на него.
Это лишь последняя из серии проблем безопасности, замеченных в продуктах Microsoft в последнее время. На прошлой неделе компания предупредила пользователей Windows NT и 2000 об ошибке в инструментарии отладки, позволяющей злоумышленникам получить полный контроль над системой, если они имеют к ней минимальный доступ.
А еще неделей раньше компания призвала пользователей Windows загрузить поправку для Internet Explorer, исправляющую шесть вновь обнаруженных пробелов в защите веб-браузера. Три из них компания назвала критическими, но лишь одна позволяет атакующему или червю исполнять программы на компьютере жертвы.
Предыдущие публикации:
В продолжение темы:
|
|
| eXOR - billgmicrosoft.com 30 May 2002 7:53 AM |
Что ж... все дружно на StarOffice :-). |
|
| Qrot 30 May 2002 10:04 AM |
2eXOR: ага, а то там дыр нет :) |
|
| eXOR - billgmicrosoft.com 30 May 2002 11:31 AM |
2 Qrot: Есть, но про них никто не знает :-). |
|
| Слопер 30 May 2002 1:21 PM |
2 eXOR Лучше один старый друг, чем двое новых |
|
| 6opucka - b.ignatovmotorola.com 30 May 2002 3:19 PM |
Да ну его нафиг! Дыыр там, может и нет - но после ворда и МСО работать невозможно - тупая система!!! Элиментарный пример - он может открывать PowerPoint файлы. Но, почему-то, только РРТ. PPS для него не то! Дык, я его выделяю, потом иду вниз и выбираю тип PowerPoint: тогда он открывается нормально! Попытка добавить его в типы файлов никчему не привела, по дабл клику открывается в нотбуке... И там еще много подобной лабуды. А шо мне делать - сижу на Sun/Solaris... |
|
| Skull - sibskullmail.ru 31 May 2002 4:35 AM |
26opucka: тупая, говоришь? Автодополнение по всему списку слов документа есть в MSOffice? Вот уже где наитупейшая система! А то, что не открывает файлы, созданные в левой наитупейшей системе - это не его беда, а этой самой системы. Наплодили форматов, блин! |
|
| eXOR - billgmicrosoft.com 31 May 2002 7:52 AM |
2 6opucka: > нотбуке Хух? > А шо мне делать - сижу на Sun/Solaris.. 1) Не рисовать презентации в этом глюкалове 2) Подбирать железо и ОС исходя из своих потребностей, а не из того, что круче. |
|
| Ron - rodionlenta.ru 31 May 2002 12:53 PM |
2 Skull: Pls, обоснуй, хотя бы на палцах тупость MS Office. |
|
| Skull - sibskullmail.ru 1 Jun 2002 11:46 AM |
2Ron: отсутствие оптимальности хранения, совместимости, открытости и безопасности. Баги со шрифтами, таблицами, соотвествием WySWyG печати, ненастраиваемость, монстроидальность, неподдержка многих выходных форматов, отвратительный словарь, отсутствие гибких публикационных технологий, отвратительная работа с растром, ограничения на размер таблиц и малое число компонентов. Ну так, в голову сразу пришло - если покопаться, ещё что вылезет. :) |
|
| Ron - rodionlenta.ru 1 Jun 2002 3:06 PM |
2 Skull: 1) Оптимальность хранения. Что-то не въезжаю. Имеется в виду оптимальность каких параметров ? 2) Совместимость. Совместимость с чем? C SO? Или с OO? Имхо, при разработке MS Office такого требования в спеках не было. 3) Открытость. Лично мне (думаю не только мне, а ещё и многим) нах не нужна открытость форматов. Открытый automation-интерфейс - намного более гибкое и робустное решение. 4) Безопасность. В случае MS Office проблема безопасности - обратная сторона возможности использования скриптов. Отключи скрипты - получишь безопасную, но кастрированую систему. То же самое можно сказать про любой продукт. Хочешь 100% гарантии от ДТП - не пользуйся транспортом, сиди дома. Хочешь гарантии от взлома - не подключай девайс к сети, сиди в своей песочнице. 5) Шрифты, таблицы, висивиг. После тех скриншотов, что Qrot публиковал, как говорится, чья бы корова мычала... 6) Ненастраиваемость. Для решения какой именно задачи ты не смог найти настройки? Или не искал, как в случае с МСДН-ом? 7) Монстроидальность. См. п.1. 8) Неподдержка многих выходных форматов. Каких именно? Форматов изобретённых тобой? См. п.3. 9) Отсутствие гибких публикационных технологий. Отвратительная работа с растром. См. п.1. 9) Ограничения на размер таблиц. А какого тебе размера таблицы нужны? Может стоит подумать о замене на какую-нибудь СУБД ? 10) Малое число компонентов. Про ActiveX слышал что-нибудь?
|
|
| проходящий 1 Jun 2002 5:56 PM |
Zdnet слишком поздно о дырках рассказывает. на securitylab я об этом прочитал 27 числа. http://securitylab.ru/?ID=31066 И почемуто у zdnet и securitylab дизайны похожи, это не одна контора? |
|
| Skull - sibskullmail.ru 3 Jun 2002 4:46 AM |
2Ron: 1) подразумевались целостность и избыточность. Для справки: KOffice идентичные документы по оформлению хранит в файла, объемом в 10-15 раз(!) меньше. 2) имелась ввиду совместимость старых версий с новыми. 3) любой открытый интерфейс без открытого формата хранения ведет к монополизму на формат и одиночеству инструмента, его читающего, что приводит к ошибкам, неоптимальности и несовместимости (см. выше). Короче, система граблей и подпорок от MS. 4) Как вы указали в п.2 пользователям 'нах не нужна' такая автоматизация. Много есть примеров успешной самоавтоматизации Outlook? То есть не используя MAPI и нормальные интерфейсы, а автоматизации в самом продукте. 5) Как связан MSOffice и кривые ручки настройки шрифтов в X11? Так что не надо про корову. Пусть тогда MS убирает отовсюду всяческое упоминание о WYSWYG - оно в их продуктах очень посредственное. 6) Как сделать документ Word с таблицей со 120 колонками? Поищите, где это настраивается... 7) Размер инсталляции, производительность. KOffice в 30(!) раз меньше. 8) Имелся ввиду отвратительный экспорт в HTML, неподдержка docbook, TeX и пр. Это НЕ мои форматы. 9) хватит тыкать на пункт, где нет ни одной мысли. Почему при импорте из любого растрового формата рисунка с белым фоном он показывается не совсем белым. Да и печать убога. Где копать настройки? Или опять на MSDN покажете? Тык мне пользовать надо, а не программить? 10) Пример был вверху. Нужет документ Word с таблицей >100 колонок. Ограничение вроде 64. Просил не я, но тенденция интересная. При чем здесь СУБД? 11) Слышал, может быть даже крутые примеры есть. Вопрос был в том, почему они не включены в стандартную поставку? Да и по работе (масштабированию) различных OLE-компонентов есть много нареканий. |
|
| alp 3 Jun 2002 10:04 AM |
2Skull: > почему они не включены в стандартную поставку? Ага, завтра Билли их включит в поставку, а послезавтра мы получим очередной анти-MS процесс и сервис-пак для офиса, который позволяет эти ActiveX не устанавливать ;))) |
|
| eXOR - billgmicrosoft.com 3 Jun 2002 10:55 AM |
2 Ron: >Для решения какой именно задачи ты не смог найти настройки? Или не > искал, как в случае с МСДН-ом? Как сделать чтобы ворд открывал ЛЮБОЙ документ не постранично, а как сплошную полосу... (т.е. для каждого нового документа приходится заново проставлять эту опцию - затрахало). Это не флейма ради, а просто крик о помощи... знатоки ворда ничего не могут подсказать. |
|
| Qrot 3 Jun 2002 10:57 AM |
2Skull: "бля, ты наркоман, что ли, сука?!!" (С) Звонок на АТС. я тебе 3 дня подряд объяснял, что шрифты человек менял не ручками (хотя то что они у него кривые, спорить не буду), а через твой локализованный KDE мышой тыкал; и что шрифты эти стояли в RedHat по умолчанию - ручками он воообще нигде не копался. |
|
| PTO - kruchkovkgb.ru 3 Jun 2002 12:12 PM |
2 Skull: ну че, по новой что-ли? 1. разговор за ворд наверное все-же идет? дык он по-разному хранить умеет документы... по-умолчанию стоит у него фоновое сохранение, дык чтобы пользователю не ждать окончания записи файла, он его хранит с избыточностью... далее, ворд _может_ хранить _несколько_ версий документа и всегда можно вернуться назад на неделю... далее у него есть возможности рецензирования - т.е. можно отправить документ 100 другим коллегам и получить их правки, а затем просто их собрать в единый файл... и таких фич огромное кол-во... ворду так же можно настроить формат по умолчанию и прочие настройки еще на этапе инсталляции, а также принудительно всем-всем с помощью системных политик... 2. снизу вверх она обеспечивается лучше чем у большинства конкурирующих продуктов... тем не менее делают и фильтры и возможности "умолчательного" сохранения в форматах предыдущих версий и фильтры для предыдущих версий, которые могут открывать файлы из более новых 3. путаем "открытый" и "паблик домайн"? форматы офисных файлов "ОТКРЫТЫ", но не доступны всем пионерам на земле - делаешь что-то свое - подписывай соглашение и тебе пришлют форматы без проблем... как по-твоему работают анти-вирусные компании? 4. вам не нужна, кому-то еще не нужна... я же видел дофига разных решений на именно Оутлуке... поищи по слову dashboard на www.microsoft.com/rus 5. большинство современных шрифтов которые есть виндах и офисе есть ОпенТайп - совмещают в себе лучшее от ТруТайпа и ПостСкрипт-шрифтов (совместно с Адоби делали)... ВИЗИВИГ ворда достаточен для документов, бизнес-леттерс, ньюслеттерс и прочих вещей, что в нем делают... и уж точно он лучше, чем то, что есть в СтарОфисе и в поделках под КДЕ... 6. легко - вставляю объек из Экселя хоть с 1000 колонок... ну и? а в КВорде _каждая_ ячейка таблицы есть фрейм - вот сделай там 1000*1000 табличку и сохрании ее - будешь очень приятно удивлен а) скоростью работы б) размером файлв и это... сумму цифр в колонке посчитать можно будет? 7. ну и... глупо бы было имея функционал в 100 раз меньший не сделать программу хотя бы в 30 раз меньше... а по производительности... это смотря что делать... 8. параметры экспорта в ХТМЛ настраиваются... и более чем вразумительны и понятны... что такое докбук я не знаю... наверное что-то очень крутое... для TeX есть Word2TeX и наоборот... МС делает софты для миллионов потребителей, на 100 студентов/аспирантов в совке + 150к в США мало расчитывают... для этого есть конторы по-меньше, они и делают импорт-экспорт... а из КВорда можно книжку скомпилить в ЛИТ-формат... на ИПаке почитать на ночь глядя? а ЛИТ-файлами гораздо большее кол-во народа пользуется, да и не только для химически-математических текстов, но и для художественной литературы... 9. а у меня он белый - может чего в консерватории подправить? 10. ну см. выше... 11. объектов всяких дофига в офисе и его комплекте... идут даже серверные компоненты, которые позволяют работать с экселевскими файлами напримет в интернетэксплорере (АктивХ) на машине, на которой этого эксплорера нету... работать с таблицей, рисовать чарты и даже делать pivot table... а KSpread умеет делать "сводные таблицы" хотя бы в зачаточном состоянии? или GNUMeric умеет? |
|
| PTO - kruchkovkgb.ru 3 Jun 2002 12:12 PM |
2 eXOR: это хранится в параметрах файла -- как его сохранили, так он и откроется... я поищу как сделать умолчательное открытие... |
|
| eXOR - billgmicrosoft.com 3 Jun 2002 1:25 PM |
2 PTO: Заранее спасибо. |
|
| PTO - kruchkovkgb.ru 3 Jun 2002 2:31 PM |
2 eXOR: ну собственно прямо такого я ничего не нашел похоже он все это хранит бинарно в HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Data Settings типа при старте ворд оттуда все берет... посему пишешь макрос на старт ворда - кидаешь туда что-то типа If ActiveWindow.View.SplitSpecial = wdPaneNone Then ActiveWindow.ActivePane.View.Type = wdNormalView Else ActiveWindow.View.Type = wdNormalView End If или вешаешь сий макрос на кнопку добавленную в тулбар... хотя кнопка и внизу уже есть... проще на старт ворда и на открытие документа поставить... |
|
| Skull - sibskullmail.ru 4 Jun 2002 7:53 AM |
2Qrot: а) Вы ничего не говорили, что он это делал через какую-нибудь правильную программу настройки. б) RedHat представляет на выбор аж три пакета с кириллическими шрифтами. в) если он ставил из KDE 3.0 (а только там есть установщик шрифтов), то чего он не мог поставить те же TTF. Удивляюсь я таким ленивцам. |
|
| Skull - sibskullmail.ru 4 Jun 2002 7:58 AM |
2PTO: мои высказывания были не ради флейма, а как ответ. Если желаете защищать Word, то у меня совершенно нет желания флеймить на эту тему. Поэтому извините, продолжать этот флейм я не буду. Если действительно нужно что-то выяснить по KOffice (анализ данных там несколько отличается от стратегии MSOffice), то можно сконцентрироваться на этом. P.S. MSOffice хороший пакет, хотя и не без недостатков. |
|
| Qrot 4 Jun 2002 10:51 AM |
2Skull: я тебе и говорил и на скринах видно - там четко на первом скрине виден диалог с выбором шрифтов, посмотри на название шрифта. ЗЫ: Skull'о-вырезалка заработала, так что это последний ответ :) (надеюсь) |
|
| PTO - kruchkovkgb.ru 4 Jun 2002 11:48 AM |
2 Skull: то был не ответ, а извините, пердеж в луже... |
|
| Skull - sibskullmail.ru 5 Jun 2002 4:22 AM |
2PTO: Вы хотите получить конкретные ответы или поразглагольствовать про достоинства/недостатки MSOffice? Если первое, то задайте этот конкретный вопрос (если это про средства анализа, то я уже ответил). Если второе, то "пердеж в луже" получается Ваш... Ибо я настаиваю на прекращении флейма, а Вы настаиваете на его продолжении, да еще и грубите. Что-то не похоже на солидного специалиста. Так, один маразм... |
|
| Vitaly 5 Jun 2002 10:47 AM |
Цитата из письма Skull - "Автодополнение по всему списку слов документа есть в MSOffice? Вот уже где наитупейшая система! А то, что не открывает файлы, созданные в левой наитупейшей системе - это не его беда, а этой самой системы. " - уважаемый, если вы начинаете с этого, то "прекратите флейм" с вашей стороны как-то странно читать..., ведь вы не способны привести ни одного разумного технического аргумента, а как только вас "обидят", вы тут же надуваетесь и говорите "вы сами дураки и болтуны". Вас первое письмо за пальцы кто-то тянул писать ? Если нет, то доказывайте свое мнение, иначе надпись на заборе получается. Честно говоря (внимание ! я высказываю только личное мнение) вы лезете обсуждать все темы на ZDnet-е и надо признать везде показываете очень поверхностное знание предмета о котором говорите, что не удивительно - с такой писменной активностью время уже ни на что не остается. Извините за резкость, но темы на Zdnet-е бывают действительно интересные, разбираться во всем невозможно и иногда с интересом бы почитал обсуждение какой-либо темы разумными людьми, так нет, везде лезет Skull с менталитетом 16-летного подростка и превращает все в свару... |
|
| Skull - sibskullmail.ru 5 Jun 2002 11:34 AM |
2Vitaly: так. Следите за логикой! Я назвал ОДНУ КОНКРЕТНУЮ причину. Не собирался я охватить весь спектр косяков и преимуществ MSOffice. Пары будет достаточно. Но это уже не флейм, а разумное обсуждение, не так ли? Теперь насчет "обидят" - я уже привык, что на мои конструктивные предложения слышу вопли о лужи из уст Qrot'а, про "пердёж в луже" от PTO. Сейчас от Вас про менталитет 16-летнего подростка... Вы не задумывались о тенденции перехода на личности именно приверженцами Windows ? Уже раз 10-ый об этом говорю, да всё об стенку горох. Ну так что, если желаете нормально обсудить, то я только с удовольствием. За неимением таких предложениий приходится флеймить. Но только не показывайте своё высокомерие и не обсирайте людей, мнение которых отличается от Вашего. |
|
| PTO - kruchkovkgb.ru 5 Jun 2002 11:58 AM |
Бедный-бедный Skull, опять вылез с обсуждавшимися и опровергнутыми уже давно аргументами, сел в лужу, а виноваты конечно Qrot и PTO... все эти разговоры _УЖЕ_ были 10 раз и вы с сими аргументами соглашались молча или после легкого избиения младенцев... Вы кинулись какашкой (а как еще можно назвать бред и детский лепет о проблемах в Офисе, когда ни один из аргументов не выдерживает критики), вам бросили ее обратно, а вы надулись и "не надо флейма"... да и причин названо десять... все они по-пунктам отбиты... Хотите конструктивного - пжалста... когда выступаете с обвинительными речами потрудитесь прочитать материалы дела прокурор вы наш - а то, тут адвокатов хватает чтобы позицую обвинения размазать по пунктам, склонить присяжных заседателей на свою сторону, полностью оправдать обвиняемого... жаль только компенсацию получить не получится... но мы же не за этим сюда приходим... обычное извинение из ваших уст просто душу успокаивает и умиляет... Ну и эта, на последок... просвятите нас пжалста про чудо-юдо фичи в КСпреда и ГНУмерика в части анализа данных... т.е. к примеру куча информации вываленная в таблицу - как проводить анализ, искать закономерности, делать срез данных... а если этих данных террабайт и лежат они в базе данных и по ОЛАПу доступны... давайте, конструктивно, с примерами, можно со скрин-шотами... |
|
| Skull - sibskullmail.ru 6 Jun 2002 5:43 AM |
2PTO: хотите флейма? Их есть у меня... Говорите, что приведены аргументы (подразумеваю мой ответ RoN) - так он больше спрашивал, а не приводил контраргументы. Так что не надо про "отбиты". Речь шла о конкретном обсуждении (спасибо, что вы все-таки сконцентрировались на одном вопросе), а не о размазанном флейме. Если хотите, то отвечу по пунктам и вашего постинга. Итак про анализ данных в офисных пакетах. Этого анализа _НЕТ_ в том виде, в котором все привыкли в MSOffice. К сожалению, пока анализ данных доступен путем указания хитрых SQL или скриптами. Ну и, конечно, можно визуализировать графиками. Помимо прочего, есть аналоги Access и формирование визуальных отчетов на слиянии двух XML-файлов. |
|
| PTO - kruchkovkgb.ru 6 Jun 2002 11:12 AM |
2 Skull: вы исчерпали себя во флейме... любой ваш довод либо уже опровергнут, либо опровергается с легкостью... вы привели 10 доводов, их все опровергли... ну и? По анализу - вы наверное не понимаете различия между анализом row-data и собственно отчетами, да графиками... Вы видели хотябы PivotTable или на-русском "Сводные таблицы"... мощь сего инструментария для ЛПР понимаете? или графиками, да репортами все управление экономикой заканчивается? |
|
| Skull - sibskullmail.ru 7 Jun 2002 5:20 AM |
2PTO: После Oracle Discoverer или Oracle ReportServer for Linux смотреть на сводные таблицы Excel не могу. Поэтому я и говорил про _другие_ средства анализа. Но, сами понимаете, должен быть сервер Oracle. А для простого домашнего юзера сводных таблиц в интерпретации Excel нет. |
|
| PTO - kruchkovkgb.ru 7 Jun 2002 11:27 AM |
2 Skull: не можете смотреть... и чтож так... по простоте использования сводные таблицы проще, по функционалу на том же уровне, особливо, если ОЛАПом занят собственно SQL Server... (по секрету скажу, что в МСе внутри работает несколько их собственных бизнес-приложений MSReports, MSSales и ряд других - там пользователи из Экселя работают с громадными данными о продажах во всем мире - ищут закономерности, планируют, отчитываются) Ну и уж если цены начать сравнивать, так просто ни в какие ворота не лезут... цена бесплатной ОС там растворяется без остатка просто... Да и малому предприятию, которое работает в основном в электронных таблицах прикупать для себя оракл со своими тулзами накладно... да и сдается мне, что вы эти оба продукта (как и Эксель) видили только на картинках, ибо не стали бы их тут упоминать, немного другое оно |
|
| Skull - sibskullmail.ru 10 Jun 2002 3:35 AM |
2PTO: я согласен, что для простого пользователя сводные в Excel - замечательная возможность. Сам писал разработчикам с предложением реализовать такую фичу. Тем не менее, тупость составления сводных таблиц не для классических числовых срезов, а для подготовки многоколоночного отчета меня убивает. В общем - на безрыбье и такие сводные таблицы сойдут. А насчет того, что Excel я видел на картинках - не надо... Как уже было сказано выше, приходится с ним работать. Ну и мнение о нём высказано в последнем предложении первого абзаца. |
|
| 6opucka - b.ignatovmotorola.com 13 Jun 2002 11:51 PM |
Извиняюсь за позднюю реакцию - в этом форуме нет упоминаний об ответах, а заходить кажный день - нема времени...-) 2eXOR: >> нотбуке блокнот... >1) Не рисовать презентации в этом глюкалове Согласен - приходится переходить на писюк... >2) Подбирать железо и ОС исходя из своих потребностей, а не из того, что круче. Извини - 1) Это не я - Моторола такое железо покупает, а мне платят, чтоб я на нем работал!-))) 2) Таки это железо и ОС прекрасно подходят для моей работы (дизайн чипов) - а презентухи - так, параллельно... 2Skull: >... тупая, говоришь? Автодополнение по всему списку слов документа есть в MSOffice? >Вот уже где наитупейшая система! Да я не защищаю МS! Я хаю Star! >А то, что не открывает файлы, созданные в левой наитупейшей системе - это не его беда, а этой самой системы. Наплодили форматов, блин! Дык, открывает! Токма через анус! Это просто самый простой пример сырости ентого продукта - другие сложнее описать, но их хватает!!! |
|
| Oleg_55 - ScherbacovOVsgp.ru 14 Apr 2005 6:16 AM |
Как в Экселе в сводную таблицу загнать ссылку на динамический многолистовой диапазон переменного объема, содержащий на каждом листе однотипные данные с переменным числом строк. (кроме поштучной консолидации). переход на Access рекомендовать не надо, есть ограничения? С уважением Олег |
|
|