CERT-FI haavoittuvuustiedote 014/2006

Haavoittuvuuksia Microsoft Office -ohjelmistoissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut korjauspäivitykset kuuteen vakavaan Office-ohjelmistoa koskevaan haavoittuvuuteen. Haavoittuvuuksista viisi koskee Excel-ohjelmistoa.

Kaikkia Excel-ohjelmistosta löydettyjä haavoittuvuuksia voidaan hyväksikäyttää tietyllä tavalla muokatulla Excel-tiedostolla. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi suorittaa omia komentoja kohdetietojärjestelmässä muokatun tiedoston avanneen käyttäjän oikeuksilla. Haavoittuvuuksia voidaan hyväksikäyttää esimerkiksi sähköpostin liitetiedoston tai www-sivuston välityksellä.

Kuudes haavoittuvuuksista koskee kaikkia Office-ohjelmistoja. Haavoittuvuutta voidaan hyväksikäyttää tietyllä tavalla muokatulla Office-dokumentilla, joka voidaan välittää haavoittuvalle ohjelmistolle esimerkiksi sähköpostin liitetiedostona tai www-sivuston kautta. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi suorittaa kohdetietojärjestelmässä omia komentojaan.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Office -ohjelmistot (myös Mac-versiot)

• Microsoft Works Suites -ohjelmistot

Tarkemmat versiotiedot ovat saatavilla valmistajan julkaisemasta tietoturvatiedotteesta MS06-012.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Microsoft Office -ohjelmisto valmistajan ohjeiden mukaisesti. Päivitys on ladattavissa Office-updaten kautta:

http://officeupdate.microsoft.com

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms06-mar.mspx

http://www.microsoft.com/technet/security/Bulletin/MS06-012.mspx

http://www.hexview.com/docs/20060314-1.txt

CVE-2005-4131 CVE-2006-0028 CVE-2006-0029 CVE-2006-0030
CVE-2006-0031 CVE-2006-0009

PÄIVITYSHISTORIA:

14.03.2006: Julkaistu

Sivua päivitetty 11.03.2007

Tulostusversio