Søg

Kritisk fejl i Office-programmer

Et hul i Microsofts scripting-miljø til Office-dokumenter, VBA, kan bruges til at udføre vilkårlig kode på brugerens maskine.

4. september 2003 kl. 11.03
Tania Andersen Tania Andersen

Indhold

En fejl i Microsofts scripting-miljø Visual Basic for Applications (VBA) kan udnyttes af angribere til at skabe særligt udformede Office-dokumenter, som kan udføre vilkårlig kode på brugerens maskine, når dokumentet åbnes. Microsoft betegner fejlen som kritisk. Hullet kan også udnyttes via Internet Explorer og Microsoft Outlook.

VBA-miljøet benyttes til at skrive små programmer, som kan udføre avancerede funktioner i Office-pakken og andre Microsoft-produkter. De kan derfor sammenlignes med avancerede makroer.

Fejlen befinder sig i en lang række Microsoft-programmer, mellem dem Office-programmerne Word, Access, Excel og Powerpoint, samt Works, Great Plains og eEnterprise.

Fejlen findes i den måde, som VBA undersøger et dokuments egenskaber på, når værtsprogrammet, for eksempel Word, åbner dokumentet. Fejlen er en såkaldt buffer overrun, og hvis hullet udnyttes, kan der afvikles vilkårlig kode med samme rettigheder som brugeren. Et angreb kan altså udløses, når et af de kompromitterede dokumenttyper åbnes.

Hvis Word benyttes som tekstbehandler for Microsoft Outlook, kan også e-mails indeholde VBA-kode. Koden udføres dog først, når man svarer eller videresender en e-mail.

Ifølge firmaet eEye Digital Security, som har fundet fejlen, kan hullet også udnyttes via Internet Explorer, da nogle Office-dokumenttyper åbnes automatisk, når de modtages af browseren.

Ifølge Microsoft kan firmaets webtjeneste Office Update kan installere de relevante fejlrettelser. Men da PC World prøvede dette, optrådte fejlrettelsen tilsyneladende ikke på den liste af relevante rettelser, som tjenesten fandt på vores system.

Man kan læse mere på Microsofts website http://www.microsoft.com/technet/security/bulletin/ms03-037.asp" target="_blank">Security & Privacy Home. En mere teknisk forklaring findes på http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-037.asp" target="_blank">Microsoft TechNet.

Fire mindre fejl

Microsoft har også udsendt rettelser til fire mindre alvorlige fejl, hvor af to betegnes som vigtige. Det drejer sig en fejl i en programdel som kan konvertere WordPerfect-dokumenter. Fejlen berører alle versioner af FrontPage, Office, Publisher og Works.

Den anden vigtige fejlrettelse berører en fejl i alle versioner af Word, og den kan få en ondsindet makro indlejret i et Word-dokument til at blive udført automatisk, når dokumentet åbnes.

To rettelser af mindre vigtighed berører Access Snapshot Viewer og http://www.microsoft.com/security/security_bulletins/ms03-034.asp" target="_blank">NETBIOS, som er en del af Windows' netværksfunktionalitet.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    TV2

    GDPR-konsulent til TV 2 Security & Compliance

    Københavnsområdet

    Forsvaret

    Datamanager til Veterancentrets Videncenter (Tidsbegrænset)

    Region Sjælland

    TV2

    Erfaren Software Engineer til Audience Management & Permission

    Fyn

    Wahlgreen IT ApS

    Vi er på udkig efter en dygtig og selvstændig IT-konsulent

    Københavnsområdet

    Se flere it-stillinger
    SAP Excellence Day 2026

    Event: SAP Excellence Day 2026

    It-løsninger | Nordhavn

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    24. februar 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    netIP har pr. 1. januar 2026 ansat Jens Horsager Rasmussen som Systemkonsulent ved netIP's kontor i Thisted. Han kommer fra en stilling som Cloud Infrastructure Specialist hos ITM8. Nyt job

    Jens Horsager Rasmussen

    netIP

    Idura har pr. 1. december 2025 ansat Anders Høiberg Michaelsen, 29 år, som software engineer. Han skal især beskæftige sig med kodning og integration med eID-udbydere som MitID og norsk BankID. Han kommer fra en stilling som programmør og systemudvikler hos Teal Nordic. Han er uddannet diplomingeniør i softwareteknologi fra DTU. Han har tidligere beskæftiget sig med bl.a. at lave open source projekter til at hjælpe andre udviklere med at samle information hurtigt. Nyt job

    Anders Høiberg Michaelsen

    Idura

    Idura har pr. 5. januar 2026 ansat Arjuna Enait, 34 år, som software engineer. Han skal især beskæftige sig med videreudvikling af Verify-systemet samt arbejde på implementeringen af CIBA i Norsk BankID. Han kommer fra en stilling som software engineer hos Lasso X. Han er uddannet civilingeniør med speciale i geoteknik. Han har tidligere beskæftiget sig med at bygge microservices til dataindsamling og -processering, samt opdatere legacy-systemer. Nyt job

    Arjuna Enait

    Idura

    Netip A/S har pr. 1. november 2025 ansat Nikolaj Vesterbrandt som Datateknikerelev ved netIP's afdeling i Rødekro. Han er uddannet IT-supporter ved Aabenraa Kommune og videreuddanner sig nu til Datatekniker. Nyt job

    Nikolaj Vesterbrandt

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Dansk rejseportal ramt af ransomware-angreb: "Jeg fældede da en tåre"
    2 Frigivne Epstein-mails giver dramatisk indblik i kæmpe Microsoft-flop: Advarede om en katastrofal fiasko
    3 Derfor rippes Silicon Valleys butikker for små Macs: Hypet AI-værktøj truer med at gøre det af med apps
    4 Amerikansk ministerium med opsigtsvækkende tiltag: Kræver, at tech-selskaber udleverer oplysninger om kritikere af Trump
    5 Dine gamle RAM-klodser er pludseligt guld værd: Priserne når nye ekstreme højder
    6 Tysk cloud-gigant lover europæisk alternativ til AWS og Microsoft
    7 Danske Helene og Melissa stod i et fotostudie i LA, da de blev overrasket af Apple - siden er deres app eksploderet i popularitet
    8 Danmarks it-forsker nummer et, Jens Myrup, lander nyt job – efter 25 år på samme arbejdsplads

    Se seneste uge