Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 055/2003

CERT-FI haavoittuvuustiedote 055/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

4.9.2003

Haavoittuvuus Visual Basic for Applications -ohjelmakomponentissa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Visual Basic for Applications (VBA) on Visual Basic -ohjelmointiympäristön integroitu versio. Microsoft Office -ohjelmistot sisältävät VBA-komponentin.

Office-sovelluksen osoittaessa dokumenttitiedoston VBA-komponentille, VBA suorittaa tarkistuksia dokumentin ominaisuuksista. Tarkistustoiminnosta on löydetty puskurinylivuotohaavoittuvuus. Hyökkääjä voi laatia Office-dokumentin, joka avattaessa suorittaa hyökkääjään omaa ohjelmakoodia kohdetietojärjestelmässä dokumentin avaajan oikeuksilla. Dokumentti voi olla mikä tahansa VBA:ta tukeva Office-dokumentti, kuten esimerkiksi Word-tekstitiedosto, Excel-taulukkolaskentatiedosto tai Power Point -esitysgrafiikkatiedosto.

Jos Outlook -sähköpostiohjelman viestieditorina on Microsoft Word, haavoittuvuus on myös hyödynnettävissä vastataamalla tai edelleenlähettämällä haavoittuvuutta hyödyntävä sähköpostiviesti. Haavoittuvuus voi aktivoitua myös avaamalla Internet Explorer -selaimella WWW-linkki, joka osoittaa haavoittuvuuden sisältämään Office-dokumenttiin.

Microsoft on luokitellut haavoittuvuuden Critical -luokkaan.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Visual Basic for Applications SDK 5.0, 6.0, 6.2, 6.3

  • Microsoft Access 97, 2000, 2002

  • Microsoft Excel 97, 2000, 2002

  • Microsoft PowerPoint 97, 2000, 2002

  • Microsoft Project 2000, 2002

  • Microsoft Publisher 2002

  • Microsoft Visio 2000, 2002

  • Microsoft Word 97, 98(J), 2000, 2002

  • Microsoft Works Suite 2001, 2002, 2003

  • Microsoft Business Solutions Great Plains 7.5

  • Microsoft Business Solutions Dynamics 6.0, 7.0

  • Microsoft Business Solutions eEnterprise 6.0, 7.0

  • Microsoft Business Solutions Solomon 4.5, 5.0, 5.5

Visual Basic for Applications (VBA) -tuki on myös joissakin kolmannen osapuolen ohjelmistoissa. Myös nämä ohjelmistot ovat mahdollisesti haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Korjaa haavoittuva tietojärjestelmä Microsoft-turvatiedotteen MS03-037 mukaisesti:

http://www.microsoft.com/technet/security/bulletin/MS03-037.asp

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS03-037.asp

http://www.eeye.com/html/Research/Advisories/AD20030903-2.html

PÄIVITYSHISTORIA:

4.9.2003: Julkaistu

Sivua päivitetty 31.07.2007   Tulostusversio Tulostusversio