Güvenlik Bülteni
Microsoft Güvenlik Bülteni MS02-059 - Orta
Word Alanları ve Excel Dış Güncelleştirmeler Kusuru Bilgilerin Açığa Çıkmasına Neden Olabilir (Q330008)
Yayımlanma Tarihi: 16 Ekim 2002 | Güncelleştirme: 24 Temmuz 2003
Sürüm: 1.2
İlk gönderme: 16 Ekim 2002
Güncelleştirme: 24 Temmuz 2003
Özet
Bu bülteni kimin okuması gerekir: Microsoft Word veya Microsoft®® Excel kullanan müşteriler.
Güvenlik açığının etkisi: Bilgilerin Açığa Çıkması
En Yüksek Önem Derecesi: Orta
Öneri: Word veya Excel kullanan müşteriler düzeltme eklerini uygulamalıdır.
Etkilenen Yazılım:
Microsoft Word 2002
Microsoft Word 2000
Microsoft Word 97
Microsoft Word 98(J)
Macintosh için Microsoft Word X
Macintosh için Microsoft Word 2001
Macintosh için Microsoft Word 98
Microsoft Excel 2002
Genel Bilgiler
Teknik ayrıntılar
Teknik açıklama:
Word ve Excel, bir belgedeki verilerin başka bir belgeye eklenip güncelleştirilebileceği bir mekanizma sağlar. Word'de alan kodları ve Excel'deki dış güncelleştirmeler olarak bilinen bu mekanizma, kullanıcının el ile gerektirdiği çaba miktarını azaltmak için otomatikleştirilebilir. Word alan kodlarının kullanımına örnek olarak, yasal bir belgeye standart bir yasal uyarı paragrafının otomatik olarak eklenmesi yer alabilir. Excel'de dış güncelleştirmelerin kullanımına örnek olarak, bir elektronik tablodaki grafiğin farklı bir elektronik tablodaki verileri kullanarak otomatik olarak güncelleştirilmesi örnek olabilir.
Kullanıcı farkında olmadan kullanıcıdan bilgi çalmak için alan kodlarını ve dış güncelleştirmeleri kötü amaçlı olarak kullanmak mümkün olduğundan bir güvenlik açığı mevcuttur. Belgeyi kaydetme veya kullanıcı tarafından bağlantıları el ile güncelleştirme gibi bazı olaylar, alan kodunun ve dış güncelleştirmenin güncelleştirilmesini tetikleyebilir. Normalde kullanıcı bu güncelleştirmelerin gerçekleştiğini fark eder, ancak kullanıcıya herhangi bir gösterge olmadan bir güncelleştirmeyi tetikleme amacıyla özel olarak hazırlanmış bir alan kodu veya dış güncelleştirme kullanılabilir. Bu, bir saldırganın açıldığında kullanıcının yerel bilgisayarından bir dosyanın içeriğini içerecek şekilde güncelleştirilecek bir belge oluşturmasına olanak tanıyabilir.
Bir saldırganın bu güvenlik açığından yararlanabilmesi için aşağıdaki adımları gerçekleştirmesi gerekir:
- Güvenlik açığından yararlanan bir Word veya Excel belgesi oluşturma
- Kullanıcıya e-posta veya başka bir yöntemle teslim edin
- Kullanıcının belgeyi açmasını sağlayın
- Belgeyi saldırgana geri gönderin. (Microsoft, kullanıcının bunu yapması gerekmeyen bir durumun farkındadır. Saldırganın belgesinin bilgileri doğrudan bir web sitesine gönderebileceği bir yöntem vardır, ancak dosyanın yalnızca ilk satırının gönderilmesine izin verir)
Azaltıcı faktörler:
- Saldırganın çalmak istediği dosyanın konumunu bilmesi gerekir. Doğru dosya adı gösterilmediyse, saldırı başarısız olur ve belgede geçersiz bir alan hata iletisi bulunur.
- Kullanıcı her zaman alan kodlarını veya dış güncelleştirmeleri görüntüleyebilir. Saldırıda kullanılan alan kodları veya dış güncelleştirmeler, yalnızca belge görüntülenirken veya düzenlenirken karmaşıklığı önlemek için gizlendiğinden gösterilebilir. İstenmeyen ek bilgiler için belgeleri denetleme yöntemi aşağıdaki Sık Sorulan Sorular bölümünde açıklanmıştır.
- Saldırgan çalınan bilgileri gizlemeye yönelik bazı adımlar atsa da, açık bir denetim izi bırakır. Alan kodları veya dış güncelleştirmeler görüntülenebildiği için, bir saldırı başarılı olsa bile, saldırgan belgede çalınan bilgiler ve kullanılan kötü amaçlı alan kodları biçiminde net bir kanıt bırakır. Bu kanıt gerekirse kolluk kuvvetleri tarafından kullanılabilir
- Bu güvenlik açığı, saldırganın kullanıcının yerel sistemine herhangi bir dosyayı silmesini, değiştirmesini veya eklemesini sağlamaz.
- Neredeyse tüm durumlarda, saldırganın kullanıcıyı belgeyi geri göndermesi için buna dahil olması gerekir. Kullanıcı belgeyi saldırgana döndürmediği sürece hiçbir bilgi açığa çıkmaz.
Önem Derecesi:
| İnternet Sunucuları | İntranet Sunucuları | İstemci Sistemleri | |
|---|---|---|---|
| Word (tüm sürümler) | Hiçbiri | Hiçbiri | Orta |
| Excel 2002 | Hiçbiri | Hiçbiri | Orta |
Yukarıdaki değerlendirme , güvenlik açığından etkilenen sistem türlerine, bunların tipik dağıtım düzenlerine ve güvenlik açığından yararlanmanın bu sistemler üzerindeki etkisine bağlıdır.
Güvenlik açığı tanımlayıcısı:CAN-2002-1143
Test Edilen Sürümler:
Microsoft, bu güvenlik açıklarından etkilenip etkilenmediklerini değerlendirmek için Word 2002, Word 2000, Word 2000, Word 98(J), Word 97, Macintosh için Word X, Macintosh için Word 2001, Excel 2002, Excel 2000, Excel 97, Macintosh için Excel X, Macintosh için Excel 2001 ve Macintosh için Excel 98'i test etti. Önceki sürümler artık desteklenmiyor ve bu güvenlik açıklarından etkilenebilir veya etkilenmeyebilir.
Sık sorulan sorular
Güvenlik açığının kapsamı nedir?
Bu güvenlik açığı, saldırganın başka bir kullanıcının erişimi olan bir belgenin içeriğini çalmak için kullanılabilecek bir belge oluşturmasına olanak sağlayabilir.
Neredeyse tüm koşullar altında, bir saldırganın kullanıcının müdahalesi olmadan güvenlik açığından yararlanması mümkün olmaz. Bir saldırganın bu güvenlik açığından yararlanabilmesi için kötü amaçlı bir Word veya Excel belgesi oluşturması, kullanıcıya teslim etmesi (e-posta veya başka yollarla) ve ardından kullanıcıyı belgeyi iade etmesi için cezp etmesi gerekir. Başarılı bir saldırı bile, saldırganın kimliğini belirlemede kolluk kuvvetlerine yardımcı olabilecek hikaye kanıtı bırakır.
Bu hangi ürünleri etkiler?
Sorun, Word'ün Microsoft Outlook tarafından e-posta düzenleyicisi olarak kullanılması da dahil olmak üzere word'ün tüm sürümlerini etkiler. Excel 2002 de etkilenir.
Güvenlik açığının nedeni nedir?
Tasarım gereği, diğer kaynaklardan Word belgelerine ve Excel elektronik tablosuna veri eklemek için alan kodları ve dış güncelleştirmeler kullanılabilir. Normalde kullanıcı bu güncelleştirmelerin gerçekleştiğini fark eder. Ancak, alan kodlarının ve dış güncelleştirmelerin uygulanmasındaki bir kusur, belge veya elektronik tablo açıldığında kullanıcının farkında olmadan otomatik olarak güncelleştirilecek kötü amaçlı bir alan kodu veya dış güncelleştirmeler oluşturmayı mümkün hale getirebilir
Alan kodları ve dış güncelleştirmeler nedir?
Alan kodları ve dış güncelleştirmeler, belgeye veri eklemeyi otomatikleştirmenin yollarıdır. Örneğin, alan kodları genellikle bir Word belgesinde tarih veya sayfa numarasını otomatik olarak eklemek için kullanılır. Excel'deki dış güncelleştirmeler benzerdir ve örneğin bir Excel elektronik tablosundan diğerine otomatik olarak veri eklemek için kullanılabilir.
Alan kodları ve dış güncelleştirmeler genellikle normal belge düzenleme sırasında görünümden gizlenir ve kullanıcının görünümünü karmaşık hale getirmeyecek şekilde gizlenir. Ancak, gerekirse herhangi bir zamanda ortaya çıkarılıp incelenebilirler. Alan kodları ve dış bağlantılar, daha sonra ortaya çıkarılamayacakları ölçüde belgede kalıcı olarak gizlenemez.
Word alan kodlarının ve Excel dış güncelleştirmelerinin uygulanma şekliyle ilgili sorun nedir?
Tasarım gereği, alan kodları ve dış güncelleştirmeler kullanıcının sistemindeki veri dosyaları dahil olmak üzere dış kaynaklardan bilgileri otomatik olarak ekleyebilir ve güncelleştirebilir. Bu normalde kullanıcı adına meşru bir otomasyondur. Ancak, gizli bir alan kodunun kullanıcı farkında olmadan güncelleştirme gerçekleştirebilmesi için bu güncelleştirme davranışı değiştirilebildiği için bir kusur vardır. Bu, kullanıcının belgesinden saldırganın belgesine kullanıcının haberi olmadan bilgi eklemek için kullanılabilir.
Bu güvenlik açığı bir saldırganın ne yapmasını sağlayabilir?
Bu güvenlik açığı, saldırganın kullanıcının farkında olmadan bir kullanıcının belgesinin içeriğini çalmasını sağlayabilir
Bir saldırgan bu güvenlik açığından nasıl yararlanabilir?
Bir saldırganın başarılı bir saldırıyı yürütmek için atması gereken birkaç adım vardır:
- Saldırganın, özel olarak hazırlanmış Word alanları veya Excel dış güncelleştirmeleri içeren özel bir Word veya Excel belgesi oluşturması gerekir. Bu alan kodlarının veya dış güncelleştirmelerin, saldırganın çalmak istediği dosyanın tam adına ve konumuna başvurması gerekir.
- Daha sonra saldırganın belgeyi kullanıcıya e-postayla veya başka bir yolla teslim edip kullanıcıyı açmaya ikna etmek zorunda olması gerekir
- Belgeyi kapattıktan sonra kullanıcının belgeyi saldırgana geri göndermesi gerekir. (Aşağıda ele alınan ve bunun gerekli olmadığı bir niş durum vardır)
Kullanıcının saldırganın belgesini iade etmek zorunda olmadığı durum nedir?
Bir saldırganın, verileri doğrudan saldırganın denetimi altındaki bir web sitesine göndermek için alan kodu kullanabileceği sınırlı bir senaryo vardır. Bu senaryo, kullanıcının saldırganın belgesini iade etme gereksinimini ortadan kaldırsa da, önemli bir dezavantaja tabidir; yalnızca kullanıcının dosyasından ilk satırı almak için kullanılabilir
Microsoft Outlook nasıl etkilenir?
Microsoft Outlook'un kendisi etkilenmez. Ancak, Outlook 2002 varsayılan olarak e-posta düzenleyicisi olarak Word kullanır. Outlook 2000 ve Outlook 97, e-posta düzenleyicisi olarak Word'ü kullanacak şekilde yapılandırılabilir. Mac için Microsoft Outlook intosh, e-posta düzenleyicisi olarak Word kullanmaz. Word Outlook e-posta düzenleyicisi olarak kullanılıyorsa, e-posta iletisi belge olarak değerlendirilir. Bu bültende açıklanan Word düzeltme eki, Word'in ayrı olarak mı yoksa Outlook ile birlikte mi kullanıldığına bakılmaksızın bu sorunu düzeltmektedir.
Bu güvenlik açığı dijital olarak imzalanan bir belgeyi oluşturmak için kullanılabilir mi?
Hayır, kötü amaçlı olarak hazırlanmış belge açılır açılmaz imza geçersiz kılınacak. Bu, dijital imzanın incelenmesinden belli olur. Q329228 Microsoft Bilgi Bankası makalesinde, Office belgesinde dijital imzanın nasıl doğrulanması anlatılmaktadır.
Saldırganın ne çaldığını görmenin bir yolu var mı?
Evet, var. Çalınan belgenin içeriğinin görünmez hale gelmediğini anlamak önemlidir. Saldırgan, çalınan belgenin içeriğini gizlemeyi seçebilir, ancak tüm alan kodları açığa çıkar ve belge incelenirse içerik görünür olmaya devam eder. Çalınan içerikler geri alınamaz şekilde gizlenemez.
Alan kodları ve dış güncelleştirmeler aşağıdaki menü seçenekleri seçilerek gösterilebilir:
- Word 2002, 2000, 97, 98(J): Araçlar|Seçenekler|Ardından "Alan Kodları" kutusunu seçerek görüntüleyin.
- Macintosh için Word X, 2001: Düzenle|Tercihler|Ardından "Alan Kodları" kutusunu seçerek görüntüleyin.
- Macintosh için Word 98: Araçlar|Tercihler|Ardından "Alan Kodları" kutusunu seçerek görüntüleyin.
- Excel 2002: Araçlar|Seçenekler|Görünüm|Formül
Her zaman mevcut olacak bu kanıt, bir saldırgana karşı disiplin veya yasal işlem yapmak için gerekirse kullanılabilir.
Word veya Excel belgesinde bulunan ek verileri nasıl kaldırabilirim?
Q223396 Microsoft Bilgi Bankası makalesinde, Office belgelerinde ek verilerin nasıl denetlenip kaldırılacağı açıklanır.
Outlook'ta e-postamı düz metin kullanarak okuyabilir miyim?
Bu özellik Office XP SP1'de kullanıma sunulmuştur. Microsoft Bilgi Bankası makalesi Q307594 bunun nasıl yapılacağını açıklar.
Düzeltme ekleri ne yapar?
Word düzeltme eki, geçerli belgenin dışındaki kaynaklardan veri ekleyen alanların, söz konusu alanlar için doğrudan kullanıcı etkileşimi olmadan otomatik olarak güncelleştirilmesini önlemek için Word'deki varsayılan davranışı değiştirir. Bu, kullanıcının güncelleştirmenin devam etmesine izin verilip verilmediğini denetler. Excel 2002 düzeltme eki, Excel 2002'nin dış güncelleştirmeleri yenilemek için kullanıcının iznini istemediği bir durumda kullanıcıya sorar.
Ağ yöneticisiyim ve her birinin OfficeUpdate sitesini ziyaret etmelerini gerektirmek yerine düzeltme ekini kullanıcılarıma dağıtmak istiyorum. Bunu yapmak için bir yol var mı?
Ağ yöneticisiyim ve her birinin OfficeUpdate sitesini ziyaret etmelerini gerektirmek yerine düzeltme ekini kullanıcılarıma dağıtmak istiyorum. Bunu yapmak için bir yol var mı? Evet. Bunu yapmanıza olanak sağlayan bir yönetim güncelleştirmesi mevcuttur. Yönetim güncelleştirmesini indirmek için Word ve Excel'in uygun sürümünün indirme konumunu ziyaret edin. Yönetim güncelleştirmesinin bağlantıları indirme sayfalarında sağlanır.
Düzeltme eki kullanılabilirliği
Bu düzeltme eki için indirme konumları
Microsoft Word 2002:
https://www.microsoft.com/office/ork/xp/journ/Wrd1005a.htm (yalnızca yönetim güncelleştirmesi)
Microsoft Word 2000:
Word 97/Word 98(J):
Word 97 ve Word 98(J) desteği almayla ilgili bilgilere şu konumdan ulaşabilirsiniz: https://support.microsoft.com/default.aspx?scid=kb; EN-US; Q330080
Macintosh için Word X:
Macintosh için Word 2001:
</https:>https:
Macintosh için Word 98:
</https:>https:
Excel 2002:
https://www.microsoft.com/office/ork/xp/journ/Exc1003a.htm (yalnızca yönetim güncelleştirmesi)
Bu düzeltme eki hakkında ek bilgiler
Yükleme platformları:
- Word 2002 düzeltme eki, Office XP Service Pack 2 ile Word 2002 çalıştıran sistemlere yüklenebilir. (Yönetim güncelleştirmesi , Office 2002 Service Pack 1 çalıştıran sistemlere de yüklenebilir).
- Word 2000 düzeltme eki, Office 2000 Service Release 1 veya Service Pack 2 ile Word 2000 çalıştıran sistemlere yüklenebilir
- Word 98(J) düzeltme eki Microsoft Word 98(J) Gold veya herhangi bir Word 98(J) hizmet sürümünü çalıştıran sistemlere yüklenebilir, ancak yalnızca Word 98(J) Hizmet Sürümü 2b'de desteklenir
- Word 97 düzeltme eki, Microsoft Word 97 Gold veya herhangi bir Word 97 hizmet sürümünü çalıştıran sistemlere yüklenebilir, ancak yalnızca Word 97 Hizmet Sürümü 2b'de desteklenir
- Macintosh için Word X düzeltme eki, Office v.X'in en son sürümünü çalıştıran sistemlere yüklenebilir. Office'in <en son sürümünü belirlemek için /https:https:>
- Macintosh için Word 2001 düzeltme eki, Office 2001'in en son sürümünü çalıştıran sistemlere yüklenebilir. Office'in <en son sürümünü belirlemek için /https:https:>
- Macintosh için Word 98 düzeltme eki, Office 98'in en son sürümünü çalıştıran sistemlere yüklenebilir. Office'in <en son sürümünü belirlemek için /https:https:>
- Excel 2002 düzeltme eki, Office XP Service Pack 2 ile Excel 2002 çalıştıran sistemlere yüklenebilir. (Yönetim güncelleştirmesi , Office 2002 Service Pack 1 çalıştıran sistemlere de yüklenebilir).
Gelecekteki hizmet paketlerine ekleme:
Bu soruna yönelik düzeltme, etkilenen ürünler için gelecekteki tüm hizmet paketlerine eklenecektir.
Yeniden başlatma gerekiyor: Hayır
Düzeltme eki kaldırılabilir: Hayır
Yerine geçen yamalar: Yok.
Düzeltme eki yüklemesini doğrulama:
- Word 2002: Winword.exe sürüm numarasının 10.0.4524.0 olduğunu doğrulayın
- Word 2000: Winword.exe sürüm numarasının 9.00.00.6926 olduğunu doğrulayın
- Word 97/Word 98(J): Word 97/Word 98(J) denetimiyle ilgili bilgiler şu konumda bulunabilir: https://support.microsoft.com/default.aspx?scid=kb; EN-US; Q330080
- Macintosh için Word X: Macintosh için Word X'i denetleme hakkında bilgi şu konumda bulunabilir: </https:>https:
- Macintosh için Word 2001: Macintosh için Word 2001'i denetleme hakkında bilgi şu konumda bulunabilir: </https:>https:
- Macintosh için Word 98: Macintosh için Word 98'i denetleme hakkında bilgi şu konumda bulunabilir: </https:>https:
- Excel 2002: Excel.exe sürüm numarasının 10.0.4524.0 olduğunu doğrulayın
Uyarılar:
Hiçbiri
Yerelleştirme:
Bu düzeltme ekinin yerelleştirilmiş sürümleri "Yama Kullanılabilirliği" bölümünde açıklanan konumlarda bulunabilir.
Diğer güvenlik düzeltme eklerini alma:
Diğer güvenlik sorunlarına yönelik düzeltme ekleri aşağıdaki konumlardan kullanılabilir:
- Güvenlik düzeltme ekleri Microsoft İndirme Merkezi'nden edinilebilir ve "security_patch" için anahtar sözcük araması yaparak en kolay şekilde bulunabilir.
- Tüketici platformları için düzeltme ekleri WindowsUpdate web sitesinden edinilebilir
Diğer bilgiler:
Destek:
- Microsoft Bilgi Bankası makalesi Q330008 bu sorun ele alınmaktadır ve bu bültenin yayımlanmasından yaklaşık 24 saat sonra kullanıma sunulacaktır. Bilgi Bankası makaleleri Microsoft Çevrimiçi Destek web sitesinde bulunabilir.
- Teknik destek Microsoft Ürün Destek Hizmetleri'nden sağlanır. Güvenlik düzeltme ekleriyle ilişkili destek çağrıları için ücret alınmaz.
Güvenlik Kaynakları: Microsoft TechNet Güvenlik Web Sitesi, Microsoft ürünlerinde güvenlik hakkında ek bilgiler sağlar.
Bildirim:
Microsoft Bilgi Bankası'nda sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.
Düzeltme:
- V1.0 (16 Ekim 2002): Bülten Oluşturuldu.
- V1.1 (17 Ekim 2002): Word 2002 düzeltme ekinin, yönetim güncelleştirmesini kullanarak Word 2002 Service Pack 1 çalıştıran sistemlere uygulanabileceğini netleştirmek için güncelleştirildi.
- V1.2 {24 Temmuz 2003): Mac indirme bağlantıları güncelleştirildi.
2014-04-18T13:49:36Z-07:00</https adresinde derlenir:>