На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-9-4 на главную / новости от 2003-9-4
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 4 сентября 2003 г.

Пользователи Office подвергаются риску

Microsoft предупредила о нескольких уязвимостях, включая «критический» пробел в защите некоторых приложений Office.

В среду Microsoft опубликовала целый ряд предупреждений об опасности, в том числе сообщение о «критической» ошибке, влияющей на многие приложения Office. Наиболее серьезный баг обнаружен в программе Visual Basic for Applications (VBA) — он позволяет злоумышленнику получить контроль над уязвимым ПК. VBA применяется для разработки приложений, связанных с другими продуктами Microsoft.

Как сказано в секьюрити-бюллетене Microsoft, при помощи VBA злоумышленник может создать документ, вызывающий переполнение буфера, а затем исполнение другой программы. Баг влияет на последние версии приложений Office, поддерживающие скрипты VBA, включая версии 2002, 2000 и 97 программ Access, Excel, PowerPoint и Word. Он может задействоваться также в Project 2002 и 2000, Visio 2002 и 2000 и в Works Suite 2002, 2001 и 2000. Риску подвержены и несколько приложений, продаваемых под маркой Microsoft Business Solutions, включая версию 7.5 бухгалтерского ПО Great Plains.

В большинстве случаев, чтобы подвергнуться атаке, пользователь должен принять и открыть подготовленный злоумышленником документ. Однако, если клиент e-mail Microsoft Outlook настроен на использование Word в качестве редактора по умолчанию кода HTML, можно нарваться на неприятности, просто ответив на сообщение с вложенным злонамеренным документом или переадресовав его.

Представители Microsoft призывают заказчиков установить соответствующие поправки — как указано в секьюрити-бюллетене и на сайте Office Update — и использовать правильные процедуры обращения с электронной почтой. «Если вы получили документ от неизвестного, что-то такое, чего вы не ждали, к этому нужно относиться чрезвычайно осторожно», — предупреждает продакт-менеджер Microsoft по Office Саймон Маркс.

С приложениями Office связано и несколько других предупреждений. Ошибка в последних версиях Word позволяет хакерам автоматически исполнять макросы. Согласно секьюрити-бюллетеню, эта уязвимость, оцениваемая как «важная», требует открытия злонамеренного документа. Пользователей Word 2002, 2000, 98 или 97, а также Works Suite 2003, 2002 или 2001 призывают срочно установить поправку.

Еще одна уязвимость связана с возможным переполнением буфера при конвертации документов Office из форматов, связанных с Corel WordPerfect. Эта ошибка, оцениваемая как «важная», проявляется в последних версиях Office, FrontPage, Publisher и Works Suite. Как сказано в бюллетене, она позволяет злоумышленнику выполнять на компьютере жертвы произвольный код.

Другая уязвимость Office, связанная с переполнением буфера и оцениваемая как «средняя», тоже позволяет злоумышленнику выполнять на ПК произвольный код, если пользователь открыл злонамеренный документ при помощи инструмента Snapshot Viewer, входящего в приложение Microsoft Access. Баг проявляется в Access 2002, 2000 и 97 и лечится поправкой.

Последняя ошибка, опасность которой считается «низкой», связана с сетевым компонентом NetBIOS (Network Basic Input/Output System), включенным в последние версии операционной системы Windows. При определенных условиях ответ на сетевой запрос может содержать произвольные данные из памяти ПК, что грозит раскрытием конфиденциальной информации. Согласно бюллетеню, этот баг использует ресурсы ПК, обычно заблокированные программой Internet Connection Firewall, включенной в последние версии Windows.

Microsoft все больше критикуют за частые предупреждения об опасности, в то время как софтверный гигант при помощи инициативы Trustworthy Computing пытается уверить заказчиков в надежности своего ПО. 

 Предыдущие публикации:
2003-07-10   Microsoft залатала дыры в Windows
2003-08-21   Microsoft предупреждает о критических ошибках в IE
2003-09-02   Новый Office ограничит допуск к документам
 В продолжение темы:
2003-09-09   Поправка для IE не работает?
2003-10-14   Microsoft выпустила инструменты разработки для Office
2004-03-11   Дефект в Outlook опаснее, чем предполагалось
Обсуждение и комментарии
Дима
4 Sep 2003 5:38 PM
Ну где же вы, линурасы?... :-)
 

Skull - sibskullmail.ru
5 Sep 2003 5:36 AM
2Дима: они молчат. Эмоций по поводу супер-дырявого говна от MS уже нет. Все спокойно работают под Linux и это убогое поделие не обсуждают... Забыли... :))
 

Прохожий
5 Sep 2003 10:16 AM
"пользователь должен принять и открыть подготовленный злоумышленником документ" - еще раз подтверждает, что все беды от пользователей.
 

Дима
5 Sep 2003 4:35 PM
2Skull: Это хорошо бы...
 

Sir Alex Devil - alexdevilnm.ru
5 Sep 2003 5:31 PM
Здесь!!!

Да кстати Open Office и Star Office хоть и не дырявые такие но глючат не меньше... так что Вооружаемся PDF композерами и вперед.
 

Skull - sibskullmail.ru
8 Sep 2003 5:20 AM
2Sir Alex Devil: это чё? Ghostscript шо ли? :)))
 

blacklion
15 Oct 2003 11:42 AM
а что, tex отменили? =)
 

73137
18 Oct 2003 3:32 PM
кто там кого обозвал линурасом? вот скажи мне, американец (с)Брат2, почему под линукс никто не пишет вирусов, троянов и другого вредного кода, предназначенного именно для юзеров? потому что там на порядок сложнее найти дыру и скрыть этот код от любопытства юзера! как правило, линуксоид имеет представление о базовых понятиях "файл", "формат файла" (который не зависит от расширения, и не нужно его по умолчанию скрывать!) и т.д.! а для среднего виндового юзера документ - это документ, музыка - это музыка, а фильм - это фильм, все они находятся в папке мои документы и будут уничтожены, когда полетит виндовс, а заставить открывать документы ворда чем-то другим даже в голову не придет! для них файлы это нечто вроде материальное, а само слово файл ассоциируется с системным предупреждением - удалять его нельзя, даже с дискеты, иначе винда грохнется! и уж точно такое ламо будет спорить, что вордовский документ это не файл. Интернет сегодня заселяют тупые овцы, которыми пытаются править корпорации во главе с мс, а людей, пытающимся помочь им стать людьми, судят. К счастью, ДМСА никогда не будет иметь у нас силы - так же как и, скажем, шариат. Но американские пиндосы уже потеряли свой шанс на мировое лидерство!
 

Unknown uzVer
19 Oct 2003 12:36 PM
2 73137 так конечно никто не пишет вирусы под линух - им же никто не пользуется! если бы линух юзало столько же народу, сколько и винду, то этот линух бы давно помидорами закидали. конечно, ты прав, что в нём никакой юзер не откроет просто так файл прогой по умолчанию, потому что, во-первых, там файл открыть сама по себе задача нетривиальная, а во-вторых, как уже было сказано, юзеры линухом не пользуются и правильно делают
 

1
28 Jul 2004 10:22 AM
linux + openoffice > windows + msoffice
 

 

← август 2003 1  2  3  4  5  8  9  10  11 октябрь 2003 →
Реклама!
 

 

Место для Вашей рекламы!