Microsoft biztonsági tanácsadó 919637

A Word biztonsági rése távolról történő kódfuttatást tehet lehetővé

Közzétéve: 2005. május 10. | Frissítve: 2006. június 2.

A Microsoft a Microsoft Word XP és a Microsoft Word 2003 alkalmazásokat ért támadásokkal kapcsolatos bejelentéseket tanulmányozza. Ennél a támadásformánál a támadás sikerességéhez a felhasználónak meg kell nyitnia egy e-mailhez csatolt vagy más módon beszerzett rosszindulatú Word dokumentumot. A Microsoft a felhasználók kellő tájékoztatása érdekében folyamatosan vizsgálja a nyilvános bejelentéseket.

A Microsoft rövidesen befejezi a Microsoft Word biztonsági részét megszüntető frissítést. A biztonsági frissítés jelenleg a tesztelési fázisban van, ezáltal biztosítható az alkalmazásokkal való kompatibilitás, a tervek szerint kiadására a júniusi biztonsági frissítések részeként 2006. június 13-án, vagy annál korábban kerül majd sor.

A Microsoftot aggodalommal tölti el, hogy a Wordben lévő biztonsági résről szóló új közleményt nem felelősségteljesen tették közzé, így potenciális veszélynek tették ki a számítógép-használókat. Továbbra is szorgalmazzuk a biztonsági rések felelős nyilvánosságra hozatalát. Úgy véljük, a nyilvánosan elfogadott gyakorlat, miszerint a biztonsági réseket közvetlenül a forgalmazóknak jelentik, mindenki érdekét szolgálja. Ez a gyakorlat biztosítja az ügyfeleknek a megfelelő, minőségi frissítéseket a biztonsági résekhez, elhárítva a rosszindulatú támadásokat a biztonsági frissítés fejlesztése közben.

Általános tudnivalók

A tanácsadó közlemény célja: Az ügyfelek értesítése a nyilvánosságra került biztonsági résről. További információ a biztonsági tanácsadó javasolt műveletekkel, lehetséges megoldásokkal és enyhítő tényezőkkel foglalkozó részében olvasható.

A tanácsadó közlemény állapota: Vizsgálat alatt

Javaslat: Ne nyisson meg és ne mentsen el megbízhatatlan forrásokból származó Microsoft Word fájlokat. Ez a biztonsági rés akkor használható ki, ha a felhasználó fájlt nyit meg.

HivatkozásokAzonosítás
CERT-hivatkozás VU#446012
CVE-hivatkozás 2006-2492

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Microsoft Word 2002
Microsoft Word 2003

Mire terjed ki a tanácsadó hatása?
A Microsoft tudomására jutott a Microsoft Word alkalmazást, a Microsoft Office programcsalád egyik összetevőjét érintő biztonsági rés. Ez a biztonsági rés az „Áttekintés” részben leírt szoftvereket érinti.

Olyan biztonsági résről van szó, amelyhez a Microsoftnak biztonsági frissítést kell kiadnia?
A Microsoft rövidesen befejezi a Microsoft Word biztonsági részét megszüntető frissítést. A biztonsági frissítés jelenleg a tesztelési fázisban van, ezáltal biztosítható az alkalmazásokkal való kompatibilitás, a tervek szerint kiadására a júniusi biztonsági frissítések részeként 2006. június 13-án, vagy annál korábban kerül majd sor.

A Microsoft Office Word mely verzióira vonatkozik a tanácsadó?
A tanácsadó a Word 2002 és Word 2003 alkalmazásokkal foglalkozik.

Mi okozza a biztonsági rést?
Amikor a felhasználó megnyit egy különlegesen kialakított Word fájlt, amely hibásan létrehozott objektummutatót tartalmaz, a rendszer memóriája megsérülhet, és a támadó tetszőleges kódot futtathat.

Hogyan használhatja ki a támadó a biztonsági rést?
Internetes támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely a biztonsági rés kihasználását lehetővé tevő Office fájlt tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a rosszindulatú kódot tartalmazó webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el.

E-mailes támadási esetnél a támadó úgy próbálja kihasználni a biztonsági rést, hogy egy speciálisan kialakított fájlt küld a felhasználónak, és meg akarja nyittatni vele.

Miért képezi a megoldás részét a Word levélszerkesztőként való letiltása?
Az Outlook elindítja a Word alkalmazást, amennyiben az van levélszerkesztőként megjelölve. Mikor a Word alkalmazást kettős kattintással megkísérli elindítani, a program a már elindított példány használja fel újra. Ha a Word alkalmazást csökkentett módban indítja el, miközben a Word már normál módban is fut, a csökkentett mód beállításait a rendszer nem lépteti életbe. Emiatt javasoljuk, hogy a biztonsági rés ellené védekezés részeként kapcsolják ki a Word levelezőszerkesztőként való használatát.

Miért képezi a Word alkalmazás csökkentett módban való futtatása részét a megoldásnak?
Csökkentett módban a bővítmények nem töltődnek be, így a rosszindulatú szoftverek sem futhatnak.

Le kellett futtatnom az Office Repair alkalmazást, és most a Word nem nyílik meg csökkentett módban. Mi ennek az oka?
Csökkentett módban bizonyos Office funkciók nem működnek. A rendszer nem tölti be a biztonsági rés által fenyegetett kódot.

  • A korlátozott jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén.
  • A biztonsági rés Office XP vagy Office 2003 rendszereken e-mailen keresztül automatikusan nem használható ki. A támadás sikerességéhez a felhasználónak meg kell nyitnia az e-mail üzenetben küldött mellékletet.
  • A biztonsági rés Office XP vagy Office 2003 rendszereken webalapú támadással automatikusan nem használható ki. A támadónak olyan webhelyet kell üzemeltetnie, amely a biztonsági rés kihasználását lehetővé tevő Office fájlt tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a rosszindulatú kódot tartalmazó webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el.
  • A probléma az Office 2000 alkalmazást nem érinti.
  • A fájlok megnyitásához és megtekintéséhez a Word Viewer 2003 alkalmazást használja. A Word Viewer 2003 nem tartalmazza a kérdéses fenyegetett kódot, így a támadás sem veszélyezteti. A program ingyenesen letölthető a következő címről: http://www.microsoft.com/downloads/details.aspx?familyid=95E24C87-8732-48D5-8689-AB826E7B8FDF&displaylang=en.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

A Microsoft Word alkalmazást mindig Csökkentett módban használja.

A következő lépéseket kell végrehajtania a Microsoft Word Csökkentett módban való futtatásához:

1. lépés - Tiltsa le az Outlook azon funkcióját, amely lehetővé teszi, hogy a Word alkalmazást a levelek szerkesztésére használhassa

Vállalati felhasználók

Manuális (felhasználói beavatkozással)
A következő lépésekkel kikapcsolhatják a Word e-mail szövegszerkesztőként való alkalmazását.

Megjegyzés Még a lehetséges megoldások műveleteinek végrehajtását követően se nyisson meg SEMMILYEN levelezőklienstől (pl. Outlook vagy Hotmail) származó Word fájlt közvetlenül. Mentse el a dokumentumot lemezre vagy az Asztalra, és használja a „Word Csökkentett módban” parancsikont.

1. Indítsa újra a számítógépet.

  1. Nyissa meg az Outlook alkalmazást
  2. Kattintson az Eszközök, a Beállítások elemre, majd a Levélformátum lapra.
  3. Törölje A Microsoft Word használata az elektronikus levelek szerkesztéséhez négyzet jelölését.
  4. Törölje A Microsoft Word használata az Outlook Rich Text formátumú e-mailek olvasásához négyzet jelölését.
  5. Zárja be az Outlook alkalmazást.
  6. Indítsa újra a számítógépet.

A Word alkalmazás levélszerkesztőként való alkalmazásáról ezen a weboldalon olvashat bővebben.

A megoldás hatása: A felhasználó nem tudják majd a Word alkalmazást e-mail szerkesztőként használni, és nem fogják majd tudni a Rich Text formátumot a levelek olvasására használni.

A Csoportházirend használata

A tartományi rendszergazdák a Csoportházirendet alkalmazhatják arra, hogy visszavonják a felhasználóktól a Word program e-mail szerkesztőként való használatának lehetőségét. A megoldás hatályba léptetéséhez nem kell újraindítani a számítógépet.

A rendszerleíró kulcsok Csoportházirenddel való használhatóságáról olvassa el a következőket: Rendszergazdai sablonfájlok használata rendszerleíróadatbázis-alapú Csoportházirenddel és Rendszerleíró-adatbázis módosítások közzététele.

Megjegyzés Még a lehetséges megoldások rendszerleíró-adatbázis bejegyzéseket módosító műveleteinek végrehajtását követően se nyisson meg SEMMILYEN levelezőklienstől (pl. Hotmail) származó Word fájlt közvetlenül.

Tiltsa le a WordMail funkciót a Word 2002 alkalmazásban

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Tiltsa le a WordMail funkciót a Word 2002 alkalmazásban

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

A megoldás hatása: A felhasználók nem tudják majd a Word alkalmazást e-mail szerkesztőként használni, és nem fogják majd tudni alapértelmezés szerint a Rich Text formátumot a levelek olvasására használni.

Otthoni felhasználók

A következő lépésekkel kikapcsolhatja a Word e-mail szövegszerkesztőként való alkalmazását:

Megjegyzés Még a lehetséges megoldások műveleteinek végrehajtását követően se nyisson meg SEMMILYEN levelezőklienstől (pl. Outlook vagy Hotmail) származó Word fájlt közvetlenül. Mentse el a dokumentumot lemezre vagy az Asztalra, és használja a „Word Csökkentett módban” parancsikont.

1. Indítsa újra a számítógépet.

  1. Nyissa meg az Outlook alkalmazást
  2. Kattintson az Eszközök, a Beállítások elemre, majd a Levélformátum lapra.
  3. Törölje A Microsoft Word használata az elektronikus levelek szerkesztéséhez négyzet jelölését.
  4. Törölje A Microsoft Word használata az Outlook Rich Text formátumú e-mailek olvasásához négyzet jelölését.
  5. Zárja be az Outlook alkalmazást.
  6. Indítsa újra a számítógépet.
  7. A Word alkalmazás levélszerkesztőként való alkalmazásáról ezen a weboldalon olvashat bővebben.

A megoldás hatása: A felhasználók nem tudják majd a Word alkalmazást e-mail szerkesztőként használni, és nem fogják majd tudni alapértelmezés szerint a Rich Text formátumot a levelek olvasására használni.

2. lépés írja be a /safe kapcsolót a WINWORD.EXE parancssorba

Vállalati felhasználók

A Word alkalmazás Csökkentett módban való használata segít a biztonsági rés elleni védelemben.

A Word valamennyi verziója rendelkezik alkalmazás-helyreállító funkcióval, amely a Word Csökkentett módban való futtatását teszi lehetővé. A Csökkentett módban bizonyos funkciók nem működnek, ezáltal csökkentik a biztonsági rés okozta kockázatot. A korlátozások teljes listája a következő helyen található: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Megjegyzés Még a lehetséges megoldások műveleteinek végrehajtását követően se nyisson meg SEMMILYEN levelezőklienstől (pl. Outlook vagy Hotmail) származó Word fájlt közvetlenül. Mentse el a dokumentumot lemezre vagy az Asztalra, és használja a „Word Csökkentett módban” parancsikont.

  1. A Word programban a CSÖKKENTETT MÓD üzenet figyelmezteti a felhasználót a Csökkentett mód aktív állapotára.
  2. Kattintson a jobb gombbal az Asztalra.
  3. Válassza az Új/Parancsikon menüpontot
  4. Válassza a Tallózás elemet.
  5. Keress meg a winword.exe fájlt.
  6. Írja be a fájlnév helyének végére idézőjelek nélkül a “ /safe” parancsot, közvetlenül az idézőjel után.
  7. Kattintson a Tovább gombra, nevezze el a parancsikont „Word Csökkentett módban” névre.
  8. Kattintson a Befejezés gombra.

Word dokumentum megnyitásához kövesse a következő lépéseket:

  1. Mentse el a word dokumentumot lemezre vagy az Asztalra
  2. A Word alkalmazást a „Word Csökkentett módban” parancsikonnal nyissa meg.
  3. Kattintson a Fájl, majd a Megnyitás elemre, nyissa meg a kívánt dokumentumot.

A megoldás hatása: A Csökkentett módban dolgozó felhasználókra az on-line súgóban ismertetett korlátozások vonatkoznak. http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Csoportházirendet alkalmazó vállalati felhasználók

A tartományi rendszergazdák a Csoportházirend segítségével engedélyezhetik a Csökkentett mód használatát. A megoldás hatályba léptetéséhez nem kell újraindítani a számítógépet.

Megjegyzés Még a lehetséges megoldások rendszerleíró-adatbázis bejegyzéseket módosító műveleteinek végrehajtását követően se nyisson meg SEMMILYEN levelezőklienstől (pl. Hotmail) származó Word fájlt közvetlenül.

A rendszerleíró kulcsok Csoportházirenddel való használhatóságáról olvassa el a következőket: Rendszergazdai sablonfájlok használata rendszerleíróadatbázis-alapú Csoportházirenddel és Rendszerleíró-adatbázis módosítások közzététele.

Megjegyzés Az Office alkalmazás rendszerleíró kulcsainak helye az egyes vállalatoknál a telepítéstől függően eltérő. A kulcsokat a körülményeket figyelembe véve a rendszergazdáknak kell meghatározniuk. Az itt feltüntetett elérési utak a Microsoft Office alapértelmezett elérési útvonalait mutatják. Az Office 10 alapértelmezett elérési útja angol nyelvű Windows esetén: „c:\program files\microsoft office\office10”.

Megjegyzés Annak érdekében, hogy megnyitáskor, nyomtatáskor vagy szerkesztéskor a Word csökkentett módban induljon el, az alapértelmezett és parancssori kulcsértékeket módosítani kell úgy, hogy azok a „/safe” paramétert is tartalmazzák (az idézőjelek nélkül).

Office 2003 esetén az alapértelmezett érték: "C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde /safe, a „Command” értéket a következőre kell módosítani: “']gAVn-}f(ZXfeAR6.jiWORDFiles>P`os,1@SW=P7v6GPl]Xh /n /dde /safe”.

Megjegyzés A „Command” verzió és nyelvspecifikus titkosított érték, elképzelhető, hogy egyes rendszereken nem pontosan így jelenik meg.

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\OpenAsReadOnly\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Wizard.8\shell\New\command]

A megoldás hatása: A Csökkentett módban dolgozó felhasználókra az on-line súgóban ismertetett korlátozások vonatkoznak. http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Otthoni felhasználók

  • Word alkalmazás használata Csökkentett módban otthoni felhasználók számára

    A Word alkalmazás Csökkentett módban való használata segít a biztonsági rés elleni védelemben.

    A Word valamennyi verziója rendelkezik alkalmazás-helyreállító funkcióval, amely a Word Csökkentett módban való futtatását teszi lehetővé. A Csökkentett módban bizonyos funkciók nem működnek, ezáltal csökkentik a biztonsági rés okozta kockázatot. A korlátozások teljes listája a következő helyen található: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

    Megjegyzés Még a lehetséges megoldások műveleteinek végrehajtását követően se nyisson meg SEMMILYEN levelezőklienstől (pl. Outlook vagy Hotmail) származó Word fájlt közvetlenül. Mentse el a dokumentumot lemezre vagy az Asztalra, és használja a „Word Csökkentett módban” parancsikont.

    1. A Word programban a CSÖKKENTETT MÓD üzenet figyelmezteti a felhasználót a Csökkentett mód aktív állapotára.
    2. Kattintson a jobb gombbal az Asztalra.
    3. Válassza az Új/Parancsikon menüpontot
    4. Válassza a Tallózás elemet.
    5. Keress meg a winword.exe fájlt.
    6. Írja be a fájlnév helyének végére idézőjelek nélkül a “ /safe” parancsot, közvetlenül az idézőjel után.
    7. Kattintson a Tovább gombra, nevezze el a parancsikont „Word Csökkentett módban” névre.
    8. Kattintson a Befejezés gombra.

    Word dokumentum megnyitásához kövesse a következő lépéseket:

    1. Mentse el a word dokumentumot lemezre vagy az Asztalra
    2. A Word alkalmazást a „Word Csökkentett módban” parancsikonnal nyissa meg.
    3. Kattintson a Fájl, majd a Megnyitás elemre, nyissa meg a kívánt dokumentumot.

    A megoldás hatása: A Csökkentett módban dolgozó felhasználókra az on-line súgóban ismertetett korlátozások vonatkoznak. http://office.microsoft.com/en-us/assistance/HP030823931033.aspx.

Tudnivalók Office dokumentumok CSÖKKENTETT MÓDBAN való használatára vonatkozóan

  • Ne nyissa meg a más alkalmazásokba (Excel, PowerPoint stb.) beágyazott Word fájlokat.
  • Ne nyisson meg .doc kiterjesztésű fájlt az Internet Explorer böngészőben, és más böngészőben sem.
  • Ha a Word címsorában nem jelenik meg a „Csökkentett mód” felirat, az alkalmazás nem abban a módban fut. Ne nyisson meg semmilyen Word fájlt sem, mivel a gép számára fenyegetést jelenthetnek a rosszindulatú szándékkal létrehozott .doc fájlok.
  • A Word Viewer 2003 bármilyen fájlt kockázat nélkül nyithat meg.

    A számítógép védelme

    Továbbra is bíztatjuk ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják A számítógép védelme webhelyet.

  • A biztonságos internetezésről további információt a Microsoft Biztonság honlapon talál.
  • Ha úgy véli, hogy gépét fertőzés érte, vegye fel a kapcsolatot a helyi FBI-irodával, vagy küldje e-mailben problémája leírását az Internetes Csalások Bejelentő Központja honlapjáról. Az Egyesült Államokon kívüli ügyfeleink forduljanak az illetékes helyi hatóságokhoz.

    A számítógépes rendszer védelmének teljessége érdekében valamennyi felhasználónak telepítenie kell a Microsoft által kiadott legújabb biztonsági frissítéseket. Az Automatikus frissítést engedélyező felhasználók automatikusan megkapnak minden Windows frissítést. A biztonsági frissítésekről további információt a Microsoft biztonsági kérdésekkel foglalkozó webhelyén találhat.
  • Fokozottan ajánljuk, hogy kiemelt óvatossággal járjanak el fájlátviteli műveletekkor, legyenek azok ismert vagy ismeretlen forrásból. A számítógép MSN Messenger alkalmazás használata közbeni védelméről bővebben olvashat az MSN Messenger gyakran feltett kérdéseket taglaló weboldalán.

    Tartsa naprakészen Windows rendszerét

  • A lehetséges legnagyobb biztonság érdekében a Windows minden felhasználójának a Microsoft legújabb biztonsági frissítéseit kell használnia. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Windows Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha engedélyezte az Automatikus frissítés funkciót, már a nyilvánosságra hozatal időpontjában hozzájuthat a frissítésekhez, csak telepítenie kell őket.

Egyéb információ

További tudnivalók:

Felelősséget kizáró nyilatkozat:

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2006. május 22.): Tanácsadó közzététele.
  • 1.1 verzió (2006. június 2.): A tanácsadó a következőkkel bővült: „Gyakran ismételt kérdések” rész frissítése, részletesebb tájékoztatás a következőre vonatkozóan: „2. Írja be a /safe kapcsolót a WINWORD.EXE parancssorba” - „Csoportházirendet alkalmazó vállalati felhasználók”, az „A Microsoft Word alkalmazást mindig Csökkentett módban használja.” szakaszban.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: