Biuletyn zabezpieczeń
Biuletyn zabezpieczeń firmy Microsoft MS02-059 — umiarkowany
Wady pól programu Word i zewnętrzne Aktualizacje programu Excel mogą prowadzić do ujawnienia informacji (Q330008)
Opublikowano: 16 października 2002 r. | Zaktualizowano: 24 lipca 2003 r.
Wersja: 1.2
Pierwotnie wysłana: 16 października 2002 r.
Zaktualizowano: 24 lipca 2003 r.
Podsumowanie
KtoTo należy przeczytać ten biuletyn: Klienci korzystający z programu Microsoft® Word lub Microsoft® Excel.
Wpływ luki w zabezpieczeniach: ujawnienie informacji
Maksymalna ocena ważności: umiarkowana
Zalecenie: Klienci korzystający z programu Word lub Excel powinni zastosować poprawki.
Oprogramowanie, którego dotyczy problem:
Microsoft Word 2002
Microsoft Word 2000
Microsoft Word 97
Microsoft Word 98(J)
Microsoft Word X dla komputerów Macintosh
Microsoft Word 2001 dla komputerów Macintosh
Microsoft Word 98 dla komputerów Macintosh
Microsoft Excel 2002
Informacje ogólne
Szczegóły techniczne
Opis techniczny:
Programy Word i Excel udostępniają mechanizm, za pomocą którego dane z jednego dokumentu można wstawić i zaktualizować w innym dokumencie. Ten mechanizm, znany jako kody pól w programie Word i aktualizacjach zewnętrznych w programie Excel, można zautomatyzować, aby zmniejszyć ilość ręcznego nakładu pracy wymaganego przez użytkownika. Przykładem użycia kodów pól programu Word może być automatyczne wstawianie standardowego akapitu odpowiedzialności w dokumencie prawnym. Przykładem użycia aktualizacji zewnętrznych w programie Excel może być automatyczne aktualizowanie wykresu w jednym arkuszu kalkulacyjnym przy użyciu danych w innym arkuszu kalkulacyjnym.
Istnieje luka w zabezpieczeniach, ponieważ istnieje możliwość złośliwego użycia kodów pól i aktualizacji zewnętrznych w celu kradzieży informacji od użytkownika bez świadomości użytkownika. Niektóre zdarzenia mogą wyzwalać kod pola i aktualizację zewnętrzną do zaktualizowania, takie jak zapisywanie dokumentu lub ręczne aktualizowanie łączy przez użytkownika. Zwykle użytkownik zdaje sobie sprawę z tych aktualizacji, jednak specjalnie spreparowany kod pola lub aktualizacja zewnętrzna może służyć do wyzwalania aktualizacji bez wskazania dla użytkownika. Może to umożliwić osobie atakującej utworzenie dokumentu, który po otwarciu zostanie zaktualizowany w celu uwzględnienia zawartości pliku z komputera lokalnego użytkownika.
Aby osoba atakująca skorzystała z tej luki w zabezpieczeniach, osoba atakująca musiałaby wykonać następujące czynności:
- Tworzenie dokumentu programu Word lub Excel wykorzystującego lukę w zabezpieczeniach
- Dostarczanie go użytkownikowi za pośrednictwem poczty e-mail lub innej metody
- Zachęcić użytkownika do otwarcia dokumentu
- Zwróć dokument do osoby atakującej. (Firma Microsoft zdaje sobie sprawę z jednego przypadku, w którym nie byłoby konieczne, aby użytkownik to zrobił. Istnieje jedna metoda, za pomocą której dokument osoby atakującej może publikować informacje bezpośrednio w witrynie internetowej, ale zezwalałby tylko na wysłanie pierwszego wiersza pliku)
Czynniki korygujące:
- Osoba atakująca musiałaby znać lokalizację pliku, który chciał ukraść. Jeśli nie przedstawiono poprawnej nazwy pliku, atak zakończy się niepowodzeniem, a w dokumencie będzie obecny nieprawidłowy komunikat o błędzie pola.
- Użytkownik może zawsze wyświetlać kody pól lub aktualizacje zewnętrzne. Kody pól lub aktualizacje zewnętrzne używane w ataku mogą być ujawniane, ponieważ są one ukryte tylko w celu zapobiegania zaśmiecaniu dokumentu podczas wyświetlania lub edytowania. Metoda sprawdzania dokumentów pod kątem dodatkowych niepożądanych informacji została opisana w poniższych często zadawanych pytaniach.
- Mimo że atakujący może wykonać kilka kroków, aby zasłonić skradzione informacje, atakujący pozostawi jasny dziennik inspekcji. Ponieważ kody pól lub aktualizacje zewnętrzne mogą być wyświetlane, nawet jeśli atak zakończy się pomyślnie, osoba atakująca pozostawi wyraźne dowody w dokumencie w postaci skradzionych informacji i użytych złośliwych kodów pól. Te dowody mogą być wykorzystywane przez organy ścigania w razie potrzeby
- Luka w zabezpieczeniach nie umożliwi osobie atakującej usunięcia, zmodyfikowania ani dodania żadnych plików do systemu lokalnego użytkownika.
- W praktycznie wszystkich okolicznościach osoba atakująca musiałaby zachęcić użytkownika do zwrócenia dokumentu. Żadne informacje nie zostaną ujawnione, chyba że użytkownik zwrócił dokument do osoby atakującej.
Wskaźnik ważności:
| Serwery internetowe | Serwery intranetowe | Systemy klienckie | |
|---|---|---|---|
| Word (wszystkie wersje) | Brak | Brak | Umiarkowane |
| Excel 2002 | Brak | Brak | Umiarkowane |
Powyższa ocena jest oparta na typach systemów, na które ma wpływ luka w zabezpieczeniach, ich typowe wzorce wdrażania i wpływ, jaki może mieć na nich wykorzystanie luki w zabezpieczeniach.
Identyfikator luki w zabezpieczeniach:CAN-2002-1143
Przetestowane wersje:
Firma Microsoft przetestowała programy Word 2002, Word 2000, Word 98(J), Word 97, Word X for Macintosh, Word 2001 for Macintosh, Word 98 for Macintosh, Excel 2002, Excel 2000, Excel 97, Excel X for Macintosh, Excel 2001 dla komputerów Macintosh i Excel 98, aby ocenić, czy mają one wpływ na te luki w zabezpieczeniach. Poprzednie wersje nie są już obsługiwane i mogą nie mieć wpływu na te luki w zabezpieczeniach.
Często zadawane pytania
Jaki jest zakres luki w zabezpieczeniach?
Ta luka w zabezpieczeniach może umożliwić atakującemu utworzenie dokumentu, którego można użyć do kradzieży zawartości dokumentu, do którego ma dostęp inny użytkownik.
W praktycznie wszystkich okolicznościach osoba atakująca nie mogłaby wykorzystać luki w zabezpieczeniach bez udziału użytkownika. Aby osoba atakująca mogła wykorzystać tę lukę w zabezpieczeniach, osoba atakująca musiałaby utworzyć złośliwy dokument programu Word lub Excel, dostarczyć użytkownikowi (za pośrednictwem poczty e-mail lub innych środków), a następnie zachęcić użytkownika do zwrócenia dokumentu. Nawet udany atak pozostawiłby dowody tell-tale, które mogłyby pomóc organom ścigania w identyfikacji napastnika.
Jakie produkty ma to wpływ?
Problem dotyczy wszystkich wersji programu Word, w tym gdy program Word jest używany jako edytor poczty e-mail przez program Microsoft Outlook. Dotyczy to również programu Excel 2002.
Co powoduje lukę w zabezpieczeniach?
Zgodnie z projektem kody pól i aktualizacje zewnętrzne mogą służyć do wstawiania danych z innych źródeł do dokumentów programu Word i arkusza kalkulacyjnego programu Excel. Zwykle użytkownik zdaje sobie sprawę z tych aktualizacji. Jednak wadą sposobu implementacji kodów pól i aktualizacji zewnętrznych może umożliwić utworzenie złośliwego kodu pola lub aktualizacji zewnętrznych, które po otwarciu dokumentu lub arkusza kalkulacyjnego zostaną automatycznie zaktualizowane bez świadomości użytkownika
Co to są kody pól i aktualizacje zewnętrzne?
Kody pól i aktualizacje zewnętrzne to sposoby automatyzowania wstawiania danych w dokumencie. Na przykład kody pól są często używane w dokumencie programu Word do automatycznego wstawiania daty lub numeru strony. Aktualizacje zewnętrzne w programie Excel są podobne i mogą służyć na przykład do wstawiania danych z jednego arkusza kalkulacyjnego programu Excel do innego automatycznie.
Kody pól i aktualizacje zewnętrzne są zwykle ukryte przed wyświetlaniem podczas normalnego edytowania dokumentu, aby nie zaśmiecać widoku użytkownika. Jednak można je ujawnić i sprawdzić w dowolnym momencie, w razie potrzeby. Kody pól i linki zewnętrzne nie mogą być trwale ukryte w dokumencie w zakresie, w jakim nie można ich ujawnić później.
Co jest nie tak ze sposobem implementacji kodów pól programu Word i aktualizacji zewnętrznych programu Excel?
Zgodnie z projektem kody pól i aktualizacje zewnętrzne mogą automatycznie wstawiać i aktualizować informacje ze źródeł zewnętrznych, w tym pliki danych w systemie użytkownika. Zwykle jest to legalna automatyzacja w imieniu użytkownika. Istnieje jednak usterka, ponieważ to zachowanie aktualizacji może być manipulowane tak, aby ukryty kod pola mógł przeprowadzić aktualizację bez świadomości użytkownika. Może to służyć do wstawiania informacji z dokumentu użytkownika do dokumentu osoby atakującej bez świadomości użytkownika.
Co może to zrobić osoba atakująca?
Luka w zabezpieczeniach może umożliwić atakującemu kradzież zawartości dokumentu użytkownika bez świadomości użytkownika
Jak osoba atakująca może wykorzystać tę lukę w zabezpieczeniach?
Istnieje kilka kroków, które osoba atakująca musiałaby wykonać w celu przeprowadzenia pomyślnego ataku:
- Osoba atakująca musiałaby utworzyć specjalny dokument programu Word lub Excel zawierający specjalnie spreparowane pola programu Word lub zewnętrzne aktualizacje programu Excel. Te kody pól lub aktualizacje zewnętrzne muszą odwoływać się do dokładnej nazwy i lokalizacji pliku, który osoba atakująca chce ukraść.
- Osoba atakująca musiałaby następnie dostarczyć dokument użytkownikowi za pośrednictwem poczty e-mail lub w inny sposób i przekonać użytkownika, aby go otworzył
- Po zamknięciu dokumentu użytkownik musi zwrócić dokument do osoby atakującej. (Istnieje jeden przypadek niszowy, omówiony poniżej, w którym nie byłoby to konieczne)
Jaki jest przypadek, w którym użytkownik nie musiałby zwrócić dokumentu osoby atakującej?
Istnieje jeden ograniczony scenariusz, w którym osoba atakująca może użyć kodu pola do wysyłania danych bezpośrednio do witryny internetowej pod kontrolą osoby atakującej. Mimo że ten scenariusz wyeliminowałby potrzebę zwrócenia przez użytkownika dokumentu osoby atakującej, może ona zostać użyta tylko do uzyskania pierwszego wiersza z pliku użytkownika.
Jak ma to wpływ na program Microsoft Outlook?
Nie ma to wpływu na samą aplikację Microsoft Outlook. Jednak program Outlook 2002 domyślnie używa programu Word jako edytora poczty e-mail. Programy Outlook 2000 i Outlook 97 można skonfigurować do używania programu Word jako edytora poczty e-mail. Microsoft Outlook dla komputerów Mac intosh nie używa programu Word jako edytora poczty e-mail. Jeśli program Word jest używany jako edytor poczty e-mail programu Outlook, wiadomość e-mail jest traktowana jako dokument. Poprawka programu Word opisana w tym biuletynie naprawia ten problem, czy program Word jest używany oddzielnie, czy w połączeniu z programem Outlook.
Czy ta luka w zabezpieczeniach może zostać użyta do utworzenia dokumentu podpisanego cyfrowo?
Nie, podpis zostanie unieważniony po otwarciu złośliwie spreparowanego dokumentu. Byłoby to widoczne w przypadku inspekcji podpisu cyfrowego. Artykuł z bazy wiedzy Microsoft Knowledge Base Q329228 omawia sposób weryfikowania podpisu cyfrowego w dokumencie pakietu Office.
Czy istnieje jakiś sposób na to, co może ukradł atakujący?
Tak jest. Ważne jest, aby zrozumieć, że zawartość skradzionego dokumentu nie staje się niewidoczna. Osoba atakująca może zdecydować się na ukrycie zawartości skradzionego dokumentu, ale zawartość będzie nadal widoczna, jeśli zostaną ujawnione wszystkie kody pól i dokument zostanie sprawdzony. Skradzione treści nie mogą być nieodwracalnie ukryte.
Kody pól i aktualizacje zewnętrzne można uwidocznić, wybierając następujące opcje menu:
- Word 2002, 2000, 97, 98(J): Narzędzia|Opcje|Wyświetl, a następnie wybierz pole "Kody pól".
- Word X, 2001 dla komputerów Macintosh: Edycja|Preferencje|Wyświetl, a następnie wybierz pole "Kody pól".
- Word 98 dla komputerów Macintosh: Narzędzia|Preferencje|Wyświetl, a następnie wybierz pole "Kody pól".
- Excel 2002: Narzędzia|Opcje|Wyświetl|Formuły
Dowody te, które będą zawsze obecne, mogą być wykorzystywane w razie potrzeby do prowadzenia postępowania dyscyplinarnego lub prawnego przeciwko atakującemu.
Jak usunąć wszelkie dodatkowe dane, które znajdują się w dokumencie programu Word lub Excel?
W artykule z bazy wiedzy Microsoft Knowledge Base Q223396 omówiono sposób sprawdzania i usuwania dodatkowych danych z dokumentów pakietu Office.
Czy mogę odczytać moją wiadomość e-mail w programie Outlook przy użyciu zwykłego tekstu?
Ta funkcja została wprowadzona w pakiecie Office XP z dodatkiem SP1. W artykule z bazy wiedzy Microsoft Knowledge Base Q307594 opisano, jak to zrobić.
Co robią poprawki?
Poprawka programu Word zmienia domyślne zachowanie w programie Word, aby zapobiec tym polam, które wstawiają dane ze źródeł zewnętrznych do bieżącego dokumentu, z automatycznego aktualizowania bez bezpośredniej interakcji użytkownika w celu wymuszenia takiej aktualizacji dla tych pól. Dzięki temu użytkownik może kontrolować, czy aktualizacja może kontynuować. Poprawka programu Excel 2002 monituje użytkownika w jednej sytuacji, w której program Excel 2002 nie zażąda uprawnień użytkownika do odświeżenia aktualizacji zewnętrznych.
Jestem administratorem sieci i chcę wdrożyć poprawkę dla moich użytkowników, zamiast wymagać od nich odwiedzenia witryny OfficeUpdate. Czy istnieje sposób, aby to zrobić?
Jestem administratorem sieci i chcę wdrożyć poprawkę dla moich użytkowników, zamiast wymagać od nich odwiedzenia witryny OfficeUpdate. Czy istnieje sposób, aby to zrobić? Tak. Dostępna jest aktualizacja administracyjna, która pozwoli Ci to zrobić. Aby pobrać aktualizację administracyjną, wystarczy odwiedzić lokalizację pobierania odpowiedniej wersji programów Word i Excel. Linki do aktualizacji administracyjnej znajdują się na stronach pobierania.
Dostępność poprawek
Lokalizacje pobierania dla tej poprawki
Microsoft Word 2002:
https://www.microsoft.com/office/ork/xp/journ/Wrd1005a.htm (tylko aktualizacja administracyjna)
Microsoft Word 2000:
Word 97/Word 98(J):
Informacje dotyczące odbierania obsługi programu Word 97 i Word 98(J) są dostępne pod adresem: https://support.microsoft.com/default.aspx?scid=kb; EN-US; Q330080
Word X dla komputerów Macintosh:
Word 2001 dla komputerów Macintosh:
</https:>https:
Word 98 dla komputerów Macintosh:
</https:>https:
Excel 2002:
https://www.microsoft.com/office/ork/xp/journ/Exc1003a.htm (tylko aktualizacja administracyjna)
Dodatkowe informacje o tej poprawce
Platformy instalacyjne:
- Poprawkę programu Word 2002 można zainstalować w systemach z programem Word 2002 z dodatkiem Service Pack 2 pakietu Office XP. (Aktualizację administracyjną można również zainstalować w systemach z dodatkiem Service Pack 1 pakietu Office 2002).
- Poprawkę programu Word 2000 można zainstalować w systemach z programem Word 2000 z pakietem Office 2000 Service Release 1 lub Service Pack 2
- Poprawkę programu Word 98(J) można zainstalować w systemach z uruchomionym rozwiązaniem Microsoft Word 98(J) Gold lub dowolną wersją usługi Word 98(J), ale jest obsługiwana tylko w programie Word 98(J) Service Release 2b
- Poprawkę programu Word 97 można zainstalować w systemach z programem Microsoft Word 97 Gold lub dowolną wersją usługi Word 97, ale jest obsługiwana tylko w programie Word 97 Service Release 2b
- Poprawkę word X for Macintosh można zainstalować w systemach z najnowszą wersją pakietu Office v.X. Aby określić najnowszą wersję pakietu Office, zapoznaj się z <adresem /https:>https:
- Poprawkę programu Word 2001 dla komputerów Macintosh można zainstalować w systemach z najnowszą wersją pakietu Office 2001. Aby określić najnowszą wersję pakietu Office, zapoznaj się z <adresem /https:>https:
- Poprawkę programu Word 98 dla komputerów Macintosh można zainstalować w systemach z najnowszą wersją pakietu Office 98. Aby określić najnowszą wersję pakietu Office, zapoznaj się z <adresem /https:>https:
- Poprawkę programu Excel 2002 można zainstalować w systemach z programem Excel 2002 z dodatkiem Service Pack 2 pakietu Office XP. (Aktualizację administracyjną można również zainstalować w systemach z dodatkiem Service Pack 1 pakietu Office 2002).
Dołączanie do przyszłych dodatków Service Pack:
Poprawka tego problemu zostanie uwzględniona w wszelkich przyszłych dodatku Service Pack dla produktów, których dotyczy problem.
Wymagany ponowny rozruch: nie
Poprawki można odinstalować: Nie
Zastąpione poprawki: Brak.
Weryfikowanie instalacji poprawek:
- Word 2002: Sprawdź, czy numer wersji Winword.exe to 10.0.4524.0
- Word 2000: Sprawdź, czy numer wersji Winword.exe to 9.00.00.6926
- Word 97/Word 98(J): informacje dotyczące sprawdzania programu Word 97/Word 98(J) są dostępne pod adresem: https://support.microsoft.com/default.aspx?scid=kb; EN-US; Q330080
- Program Word X dla komputerów Macintosh: informacje dotyczące sprawdzania programu Word X dla komputerów Macintosh są dostępne pod adresem: </https:>https:
- Program Word 2001 dla komputerów Macintosh: informacje dotyczące sprawdzania programu Word 2001 dla komputerów Macintosh są dostępne pod adresem: </https:>https:
- Program Word 98 dla komputerów Macintosh: informacje dotyczące sprawdzania programu Word 98 dla komputerów Macintosh są dostępne pod adresem: /https:>https: <
- Excel 2002: Sprawdź, czy numer wersji Excel.exe to 10.0.4524.0
Zastrzeżenia:
Brak
Lokalizacja:
Zlokalizowane wersje tej poprawki są dostępne w lokalizacjach omówionych w sekcji "Dostępność poprawek".
Uzyskiwanie innych poprawek zabezpieczeń:
Poprawki dla innych problemów z zabezpieczeniami są dostępne w następujących lokalizacjach:
- Poprawki zabezpieczeń są dostępne w Centrum pobierania Microsoft i można je łatwo znaleźć, wyszukując słowo kluczowe "security_patch".
- Poprawki dla platform konsumenckich są dostępne w witrynie sieci Web WindowsUpdate
Inne informacje:
Obsługa:
- Artykuł z bazy wiedzy Microsoft Knowledge Base Q330008 omawia ten problem i będzie dostępny około 24 godzin po wydaniu tego biuletynu. Artykuły z bazy wiedzy można znaleźć w witrynie internetowej pomocy technicznej online firmy Microsoft.
- Pomoc techniczna jest dostępna w usługach pomocy technicznej firmy Microsoft. Brak opłat za połączenia pomocy technicznej skojarzone z poprawkami zabezpieczeń.
Zasoby zabezpieczeń: witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje o zabezpieczeniach produktów firmy Microsoft.
Zrzeczenie odpowiedzialności:
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Zmiany:
- Wersja 1.0 (16 października 2002 r.): Utworzono biuletyn.
- Wersja 1.1 (17 października 2002 r.): Zaktualizowano, aby wyjaśnić, że poprawka programu Word 2002 może być stosowana do systemów z dodatkiem Service Pack 2002 programu Word 2002 przy użyciu aktualizacji administracyjnej.
- Wersja 1.2 {24 lipca 2003 r.): zaktualizowano linki pobierania dla komputerów Mac.
Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00</https:>