Microsoft 'łata' dziurę w systemie bezpieczeństwa pakietu Office 2000

Wadliwa kontrolka ActiveX, wykorzystywana przez Asystenta pakietu Office, pozwala hakerom na zdalny dostęp do prawie wszystkich funkcji pakietu.

Znajdujący się w pakiecie Microsoft Office 2000 tzw. Asystent pakietu Office posiada błąd mogący narazić komputer użytkownika na ataki hakerów. Przedstawiciele producenta poinformowali, że odpowiednia poprawka, "łatająca" wyrwę w bezpieczeństwie pakietu i jego poszczególnych komponentów, w tym m.in. Accessa 2000, Worda 2000, Excela 2000, Outlooka 2000 i PowerPointa 2000, została już przygotowana i udostępniona na ich stronie.

Lukę odkryli pracownicy zajmującej się bezpieczeństwem firmy @Stake wraz z grupą L0pht Research Labs. Według nich problem wynika z wadliwej kontrolki ActiveX, znajdującej się w pakiecie Office 2000, o nazwie Microsoft Office UA Control. Jest ona instalowana standardowo wraz z pakietem i wykorzystywana przez funkcję pomocy "Show Me" (Co to jest?), pomagającą w wyjaśnieniu poszczególnych funkcji pakietu. Wykorzystując tę kontrolkę, operator specjalnie spreparowanej strony WWW, przeglądanej przez użytkownika za pomocą aplikacji z włączoną funkcją active scripting, może przejąć kontrolę nad funkcjami jego pakietu. Standardowo active scriptng jest włączony w Internet Explorerze i kliencie Outlooka.

"Luka ta pozwala na przejęcie niemalże pełnej kontroli nad wybranymi komputerami, kradzież plików cookie, pobieranie lub modyfikacje innych plików, zainstalowanie zdalnie sterowanego oprogramowania" - twierdzą eksperci z @Stake.

Poprawka usuwająca ten problem z anglojęzycznej wersji pakietu jest dostępna pod adresemhttp://www.microsoft.com/technet/security/bulletin/ms00-034.asp. W polskim oddziale firmy nie potrafiono na razie nam powiedzieć, czy będzie działała również z polską wersją pakietu.

***

Microsoft zabezpieczy Outlooka przed wirusami

Zestaw poprawek do Office 2000 zawiera błędy

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200