Szerző: Bodnár Ádám

2008. január 17. 10:47

Távoli kódfuttatást lehetővé tevő sérülékenység az Excel több verziójában

Távoli kódfuttatást lehetővé tevő sebezhetőségre bukkantak a Microsoft Excelben, egy megfelelően előkészített dokumentum segítségével a támadók tetszőleges kódot indíthatnak el az áldozatok gépein, amivel adatokat lophatnak vagy akár spamküldésre vagy más támadások indítására használhatják a gépet.

[HWSW] Távoli kódfuttatást lehetővé tevő sebezhetőségre bukkantak a Microsoft Excelben, egy megfelelően előkészített dokumentum segítségével a támadók tetszőleges kódot indíthatnak el az áldozatok gépein, amivel adatokat lophatnak vagy akár spamküldésre vagy más támadások indítására használhatják a gépet.

A biztonsági rés az Excel 2003 SP2, Excel Viewer 2003, Excel 2002, Excel 2000 és Excel 2004 (Mac-verzió) változatokat érinti. Az Office programcsomaghoz az ősszel kiadott harmadik javítócsomag telepítése az Excelt is javítja, így az SP3-mal frissített Excel már nem sérülékeny. Az Excel 2007 és a Mac OS X-re a napokban kiadott Excel 2008 is biztonságos. A redmondi cég egyelőre nem közölte, hogy mikor frissíti a sérülékeny verziókat. A Microsoft múlt kedden adta ki szokásos biztonsági frissítéseit, a következő "patch kedd" február 12-én lesz.

A támadások igen sokrétűek lehetnek, a legegyszerűbb a preparált dokumentumot egy levélben, spamben elküldeni az áldozatoknak, de kézenfekvő egy weboldal létrehozása is, ahová a támadók elcsalhatják a felhasználókat és rávehetik őket hogy töltsék le és nyissák meg a fájlt. A Microsoft elismerte a hiba létezését, azonban állításuk szerint nem terjedtek el széles körben az erre alapozó támadások vagy kártevők, csak elszigetelt esetekről tudnak. A cég azt javasolja, az ismeretlen forrásból származó dokumentumokat a felhasználók futtassák át a Microsoft Office Isolated Conversion Environment (MOICE) konvertálón, amely a fájlokat Office Open XML formátumba alakítja, és eközben megszabadítja azokat az esetleges ártó kódoktól.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról

haláleset

1

Meghalt a Samsung elnöke

2020. október 26. 12:08

A vitatott módszereiről híres vezetőt 78 éves korában, többéves kórházi ápolás után érte a halál.