CERT-FI haavoittuvuustiedote 016/2005

9.2.2005

Haavoittuvuus Microsoft Office -ohjelmistossa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft Office -ohjelmisto on mm. Word-tekstinkäsittelyohjelmiston, Excel-taulukkolaskentaohjelmiston ja Outlook-sähköpostiohjelmiston sisältävä toimistosovellus. Microsoft Office -ohjelmistosta on löydetty uusi kriittinen haavoittuvuus.

Haavoittuvuus on linkkien käsittelyyn liittyvä puskuriylivuoto. Haavoittuvuutta voidaan hyväksikäyttää esimerkiksi houkuttelemalla käyttäjä avaamaan sähköpostitse lähetetty tietyllä tavalla muokattu linkki. Haavoittuvuutta voidaan hyväksikäyttää myös www-sivun välityksellä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdejärjestelmässä.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Office XP

• Microsoft Project 2002

• Microsoft Visio 2002

• Microsoft Works Suite 2002

• Microsoft Works Suite 2003

• Microsoft Works Suite 2004

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti. Office-ohjelmiston päivitykset ovat ladattavissa osoitteesta:

http://office.microsoft.com/officeupdate/

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS05-005.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0848

PÄIVITYSHISTORIA:

09.02.2005: Julkaistu

Sivua päivitetty 26.07.2007

Tulostusversio