Niebezpieczny asystent

Skrypt Microsoft Office Assistanta - czyli znanego "pana Spinacza" udzielającego rad dotyczących pracy w Office 2000 zawiera błędny moduł ActiveX, który umożliwia przejęcie kontroli nad komputerem użytkownika przez niepowołane osoby.

Firma Microsoft opublikowała poprawkę do swojego pakietu Office 2000, która ma wyeliminować lukę w zabezpieczeniach, umożliwiającą uzyskanie dostępu do komputera użytkownika poprzez aplikacje Word 2000, Excel 2000 i PowerPoint 2000. Usterka została odkryta przez firmę @Stake, która twierdzi, że problem związany jest z kontrolką ActiveX - Microsoft Office UA Control dostarczanej z pakietem Office 2000, która jest instalowana domyślnie w pakiecie i wykorzystywana podczas funkcji "Show Me" w systemie pomocy Office 2000.

Według przedstawicieli firmy @Stake, kontrolka umożliwia uruchomienie skryptu, który wykona dowolną operację w Office 2000, np. obniżenie poziomu zabezpieczeń makr. Umieszczony na dowolnej strony WWW odpowiednio spreparowany skrypt uruchamia się, gdy witryna będzie oglądana za pomocą aplikacji, w której włączona jest opcja obsługi skryptów (opcja domyślnie włączona w konfiguracji Internet Explorera i Outlooka). "Usterka umożliwia niemalże kompletne przejęcie kontroli nad komputerem, kradzież wszystkich cookies, skopiowanie i modyfikację dowolnego pliku oraz zdalne kontrolowanie pracy programów" - oświadczył Weld Pond z @Stake. Microsoft potwierdził, że - wykorzystując feralną kontrolkę ActiveX - operator odwiedzonej strony WWW może teoretycznie kontrolować wszystkie operacje Office 2000 na komputerze użytkownika.

"Istnienie oraz sposób instalacji tej kontrolki pozwalają na konstruowanie robaków i wirusów, które są w stanie wyłączyć ochronę przed makrowirusami i przenieść się do wszystkich adresatów z książki adresowej. Microsoft potraktował sprawę niezwykle poważnie i usunął usterkę w rekordowym czasie" - stwierdził Weld Pond. Microsoft potwierdził, że udostępniona poprawka usunęła wszystkie niebezpieczne funkcje i wyeliminowała opcję "Show Me" w Office 2000. Łata dla anglojęzycznej wersji pakietu jest dostępna pod adresem: www.microsoft.com/technet/security/bulletin/ms00-034.asp.


Zobacz również