Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 055/2002

CERT-FI haavoittuvuustiedote 055/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

22.8.2002

Haavoittuvuuksia Microsoft Office Web Components -ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - tietojen muokkaaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Office Web Components (OWC) sisältää useita ActiveX-kontrolleja, jotka mahdollistavat Office-sovellusten rajoitetun käytön WWW-selaimessa ilman täyttä Office-asennusta. OWC:n ActiveX-kontrolleissa on kolme haavoittuvuutta, joita voidaan hyödyntää WWW-sivun tai HTML-pohjaisen sähköpostiviestin kautta:

  • Host(): Tätä funktiota käyttämällä hyökkääjä voi erimerkiksi käynnistää Office-soveluksen käyttäjän järjestelmässä ja suorittaa käyttöjärjestelmäkomentoja käyttäjän oikeuksilla

  • LoadText(): Tämä metodi mahdollistaa tekstin lataamisen selainikkunaan. Hyökkääjä voi käyttää tätä metodia minkä tahansa tiedoston lukemiseen käyttäjän järjestelmästä

  • Copy()/Paste(): Tämä metodi mahdollistaa leikkaa/liimaa-toiminnon tekstille. Metodi ei noudata "disallow paste via script" -asetusta Internet Explorer -selaimessa ja mahdollistaa siten hyökkääjälle minkä tahansa leikepöydälle kopioidun tekstin edelleenlähetyksen.

Microsoft luokittelee haavoittuvuuksien yhteisriskin työasemajärjestelmissä Critical-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Office Web Components 2000 ja 2002

Seuraavat ohjelmistot sisältävät OWC-ohjelmiston:

  • Microsoft BackOffice Server 2000

  • Microsoft BIzTalk Server 2000 ja 2002

  • Microsoft Commerce Server 2000 ja 2002

  • Microsoft Internet Security and Acceleration Server 2000

  • Microsoft Money 2002 ja 2003

  • Microsoft Office 2000 ja Office XP

  • Microsoft Project 2002

  • Mircosoft Project Server 2002

  • Microsoft Small Business Server 2000

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmistot Microsoft-turvallisuustiedotteen MS02-044 ohjeiden mukaisesti.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS02-044.asp

PÄIVITYSHISTORIA:

22.08.2002: Julkaistu
 Kommentoi 
Sivua päivitetty 21.08.2007   Tulostusversio Tulostusversio