[SECURITY-L] Novos bugs da Microsoft: desta vez, no Office

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Seg Ago 26 10:59:34 -03 2002 

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Novos bugs da Microsoft: desta vez, no Office 
To: daniela em ccuec.unicamp.br
Date: Thu, 22 Aug 2002 16:26:50 GMT


Novos bugs da Microsoft: desta vez, no Office 


Quinta-feira, 22 de Agosto de 2002 - 09h28 

IDG Now!

A Microsoft descobriu três bugs no Office Web Components (OWC), software
que permite aos usuários ver e editar documentos do Office em um browser da
Web. A falha mais grave, considerada crítica, pode abrir as máquinas
vulneráveis a hackers. 
Todos os três problemas estão situados no componente de planilha eletrônica
do OWC, programa que oferece algumas funcionalidades do Office em uma
página da Internet sem a necessidade do programa ser instalado, revelou a
desenvolvedora. O OWC é fornecido com vários produtos da Microsoft,
incluindo o Office, e também pode ser adquirido através de um download
separado. 

A vulnerabilidade mais grave, segundo a companhia, encontra-se na função
"Host()" do componente de planilha eletrônica do OWC. Ela permitiria que um
hacker tomasse o controle da máquina, enviando à vítima um e-mail contendo
um documento especial criado com base na linguagem HTML, ou atraindo o
usuário de um site que contenha o tal endereço em HTML. 

As outras duas falhas foram encontradas nos métodos "LoadText()" e
"Copy()/Paste()" do OWC. Elas expõem os arquivos e parte do conteúdo
presente na memória do PC do usuário. Para ler os arquivos, no entanto, um
hacker teria que saber a localização dos documentos e os arquivos teriam
que estar legíveis através de um browser. 

O problema acontece nas versões do OWC 2000 e 2002. Segundo a empresa, esse
software é fornecido juntamente com o BackOffice Server 2000, BizTalk
Server 2000, BizTalk Server 2002, Commerce Server 2000, Commerce Server
2002, Internet Security and Acceleration Server 2000, Money 2002, Money
2003, Office 2000, Office XP, Project 2002, Project Server 2002 e Small
Business Server 2000. 

As correções para eliminar as vulnerabilidades já estão disponíveis. A
Microsoft solicita, entretanto, que os usuários do Office XP instalem o
Service Pack 2 ao invés do patch geral. As pessoas também podem fazer o
download e instalar a versão atualizada do OMC, que possui cerca de 7 MB,
diretamente do site da Microsoft. 

Mais informações podem ser encontradas no boletim de segurança da companhia
no site:


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-044.asp

[ Joris Evers - IDG News Service, Amsterdã ]


TEXTO RETIRADO DO SITE:


http://idgnow.terra.com.br/idgnow/pcnews/2002/08/0046


Caio Souza Mendes

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L