CERT zaleca użytkownikom instalację poprawki do Office 2000

Instytucja zajmująca się bezpieczeństwem sieci, podkreśla, że luki w bezpieczeństwie pakietu są bardzo niebezpieczne. Na szczęście, udostępniona przez Microsoft poprawka niweluje je w całości.

CERT (Computer Emergency and Response Team), międzynarodowa instytucja zajmująca się bezpieczeństwem w sieci, zaleca użytkownikom natychmiastowe zainstalowanie poprawki Microsoftu związanej z pakietem Office 2000.

W swoim zaleceniu organizacja podkreśla wysoki stopień niebezpieczeństwa, jakie niesie wyrwa w bezpieczeństwie pakietu Microsoftu. W związku z tym poleca użycie poprawki, którą producent udostępnił w Internecie.

Błąd w pakiecie, który może narazić komputer użytkownika na ataki hakerów, jest spowodowany wadliwą kontrolką ActiveX, o nazwie Microsoft Office UA Control. Jest ona instalowana standardowo wraz z pakietem i wykorzystywana przez funkcję pomocy Show Me (Co to jest?), pomagającą w wyjaśnieniu poszczególnych funkcji pakietu. Wykorzystując tę kontrolkę, operator spreparowanej strony WWW, przeglądanej przez użytkownika za pomocą aplikacji z włączoną funkcją Active Scripting, może przejąć kontrolę nad funkcjami jego pakietu Office. Standardowo Active Scriptng jest włączony w Internet Explorerze i kliencie Outlooka.

Choć Microsoft udostępnił swoją poprawkę już 15 maja, rzecznik CERT stwierdził, że jego instytucja wstrzymała się ze swoimi zaleceniami, ponieważ "chciała być pewna, iż użytkownicy będą wiedzieli o jak poważną kwestię chodzi".

Ustalenia CERT, dotyczące technicznych kwestii wyrwy w bezpieczeństwie, są jednak nieznacznie rozbieżne z tym, co podał Microsoft. Jedną z nich są informacje na stronie producenta, wg których konfiguracja programu pocztowego Outlook, aby pozwalał na przeglądanie poczty z włączoną opcją Restricted Zone (w polskiej wersji - Witryny z ograniczeniami), zabezpiecza użytkownika przed niebezpieczeństwem. Eksperci CERT twierdzą jednak, że nie jest to prawda, gdyż "złośliwy" skrypt z poczty może zostać wykonany przez przeglądarkę Internet Explorer.

Jednakże CERT zachęca wszystkich użytkowników do zainstalowania poprawki Microsoftu, która "łata" wszystkie nieszczelności w bezpieczeństwie pakietu. Organizacja poinformowała także, że dotąd nie odnotowała przypadku wykorzystania nieszczelności Office 2000 przez hakerów. Podobną informację przekazał Microsoft, dodając, że tak naprawdę problem istniał tylko w teorii, ponieważ luka została szybko przez niego wykryta, a poprawka udostępniona w bardzo krótkim terminie.

***

Microsoft 'łata' dziurę w systemie bezpieczeństwa pakietu Office 2000, również w polskiej wersji

Poprawka Microsoftu dla Office 2000

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200