Byki i byczki

Otwieramy stałą rubrykę o błędach w popularnych aplikacjach i sposobach ich naprawy.

Otwieramy stałą rubrykę o błędach w popularnych aplikacjach i sposobach ich naprawy.

Programy są coraz większe i coraz bardziej najeżone błędami, co często stanowi zagrożenie dla bezpieczeństwa Twojego systemu. Sprawdź więc, czy i Ty nie staniesz się wkrótce ofiarą niedopatrzenia programisty.

W artykule "Szkoła przetrwania z Microsoft Office" (od str. 128) podajemy sposoby na przetrwanie w dżungli pakietu Microsoft Office. Niejako uzupełnieniem tego "podręcznika" jest spora kolekcja błędów i ich poprawek, jakie zebrały się od czasu premiery Office'a 97. Niestety, poza superpoprawką Office 97 SR2, żadna inna łata nie jest dostępna do polskiej wersji pakietu. Warto często odwiedzać stronę officeupdate.microsoft.com, gdzie umieszczane są wszystkie łaty i dodatki do Office'a.

Wykiwać Office

Pod koniec 1998 roku Microsoft udostępnił drugi, 22 MB zestaw poprawek Office Service Release 2, który naprawił błędy, jakie ujawniły się od czasu zaistnienia SR 1. Wkrótce jednak wykryto kolejne dziury w tym wielkim pakiecie. Okazało się, że Excel 95 i 97 jest - podobnie jak przeglądarki WWW - podatny na włamania z zewnątrz. Problem znany jako "błąd rosyjskiego Nowego Roku" odnosi się do funkcji Call programu, która pozwala arkuszowi Excela uruchomić inny program zewnętrzny. Brzmi raczej niewinnie do czasu, gdy nie zauważysz, że program zewnętrzny może usunąć pliki albo zarazić system wirusem. Niestety, Call nie ostrzega przed uruchomieniem takiego pliku zewnętrznego. Obrażony pracownik może napisać wredny program, wywołać go funkcją Call z makra Autostartu w Excelu i dołączyć arkusz wraz z programem zewnętrznym do wiadomości e-mail.

Microsoft opracował poprawkę o rozmiarze 132 KB, która wyłącza funkcję Call w arkuszach kalkulacyjnych. Poprawka wymaga uprzedniego zainstalowania Office 97 Service Release 2. Nie wyłącza jednak Call, gdy zostanie użyte w makrze (jak np. w makrze Autostartu). Plik poprawki znajdziesz na naszym CD-ROM-ie w katalogu bug@fix.

Excel pozostał jednak dziurawy: funkcja wykrywania wirusa w makrach nie jest tak efektywna, jak byśmy tego sobie życzyli. W pewnych okolicznościach - gdy skoroszyt Excela jest np. zabezpieczony hasłem - zdeterminowany autor wirusów może zmusić Excela do uruchomienia kodu makra bez ostrzeżenia. Zwykle bowiem aplikacja wywołuje okno dialogowe, które daje użytkownikom możliwość zablokowania makra.

W odpowiedzi na problem Microsoft opublikował poprawkę 2,73 MB, która - podobnie jak inne - wymaga zainstalowania Office SR2. Plik nosi nazwę xl8p6pkg.exe.

Natomiast pod koniec lipca Microsoft potwierdził, że oprogramowanie dostępu do danych o nazwie Jet zawarte w Office 97 może stanowić furtkę dla włamywaczy. Jet pozwala bowiem kodowi zawartemu w arkuszu Excela 97, schowanemu na stronie WWW lub wysłanemu pocztą e-mail roznosić wirusy, usuwać dane bądź czytać pliki. Zdaniem Microsoftu dziura ta występuje w Jet w wersji 3.51, która zawarta jest w Office 97. Firma zaleca aktualizację do wersji 4.0, gdyż sprawa wydaje się poważna. Aby sprawdzić, którą wersję Jet masz, użyj polecenia Znajdź z Windows i poszukaj pliku ODBCJT32.DLL. Kliknij go prawym przyciskiem myszy, wybierz Właściwości i na karcie Wersja sprawdź numer wersji pliku. Jeżeli jest niższy od 4.0, plik trzeba zaktualizować. Nowe wersje sterowników zawarto w pliku Microsoft Data Access Components 2.1. Office 2000 używa już Jet 4.0, więc ten problem go nie dotyczy.

Word również nie jest bez skazy. Normalnie, gdy otwierasz dokument Worda zawierający makra, program ostrzega o ich obecności i daje możliwość ich wyłączenia. Niestety, jeżeli dokument nie zawiera makr, ale jest powiązany z plikiem szablonu, który je zawiera, Word pomija ostrzeżenie i bez wahania wykonuje makra szablonu. Jeżeli chcesz się przed tym uchronić, zainstaluj poprawkę Word 97 Template Security Patch (Wd97SP.exe).

Kolejna luka w zabezpieczeniach wydaje się mniej groźna. Office 97 i kilka innych aplikacji Microsoftu ma formant ActiveX zwany Forms 2.0 Control, który pozwala tworzyć własne okna dialogowe w aplikacjach. Z powodu błędu formant ten umożliwia również hakerom czytanie zawartości Schowka Windows. Poprawka nosi nazwę fm2paste.exe i ma 658 KB.

Po ataku wirusów Melissa i Explorer Microsoft wprowadził poprawkę do Outlooka, która ma chronić przed wirusami z załączników poczty. Tymczasem po zainstalowaniu łaty jedyną zmianą jest zniknięcie opcji Otwórz w oknie dialogowym, które pojawia się przy próbie otwarcia załącznika. Pozostawiono możliwość zapisu pliku na dysk, by sprawdzić go później programem antywirusowym. Poprawka sama w sobie nie chroni przed żadnym wirusem.


Zobacz również