Søg

Kritisk fejl i Office-programmer

Et hul i Microsofts scripting-miljø til Office-dokumenter, VBA, kan bruges til at udføre vilkårlig kode på brugerens maskine.

04. september 2003 kl. 11.03
Tania Andersen Tania Andersen

Indhold

En fejl i Microsofts scripting-miljø Visual Basic for Applications (VBA) kan udnyttes af angribere til at skabe særligt udformede Office-dokumenter, som kan udføre vilkårlig kode på brugerens maskine, når dokumentet åbnes. Microsoft betegner fejlen som kritisk. Hullet kan også udnyttes via Internet Explorer og Microsoft Outlook.

VBA-miljøet benyttes til at skrive små programmer, som kan udføre avancerede funktioner i Office-pakken og andre Microsoft-produkter. De kan derfor sammenlignes med avancerede makroer.

Fejlen befinder sig i en lang række Microsoft-programmer, mellem dem Office-programmerne Word, Access, Excel og Powerpoint, samt Works, Great Plains og eEnterprise.

Fejlen findes i den måde, som VBA undersøger et dokuments egenskaber på, når værtsprogrammet, for eksempel Word, åbner dokumentet. Fejlen er en såkaldt buffer overrun, og hvis hullet udnyttes, kan der afvikles vilkårlig kode med samme rettigheder som brugeren. Et angreb kan altså udløses, når et af de kompromitterede dokumenttyper åbnes.

Hvis Word benyttes som tekstbehandler for Microsoft Outlook, kan også e-mails indeholde VBA-kode. Koden udføres dog først, når man svarer eller videresender en e-mail.

Ifølge firmaet eEye Digital Security, som har fundet fejlen, kan hullet også udnyttes via Internet Explorer, da nogle Office-dokumenttyper åbnes automatisk, når de modtages af browseren.

Ifølge Microsoft kan firmaets webtjeneste Office Update kan installere de relevante fejlrettelser. Men da PC World prøvede dette, optrådte fejlrettelsen tilsyneladende ikke på den liste af relevante rettelser, som tjenesten fandt på vores system.

Man kan læse mere på Microsofts website http://www.microsoft.com/technet/security/bulletin/ms03-037.asp" target="_blank">Security & Privacy Home. En mere teknisk forklaring findes på http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-037.asp" target="_blank">Microsoft TechNet.

Fire mindre fejl

Microsoft har også udsendt rettelser til fire mindre alvorlige fejl, hvor af to betegnes som vigtige. Det drejer sig en fejl i en programdel som kan konvertere WordPerfect-dokumenter. Fejlen berører alle versioner af FrontPage, Office, Publisher og Works.

Den anden vigtige fejlrettelse berører en fejl i alle versioner af Word, og den kan få en ondsindet makro indlejret i et Word-dokument til at blive udført automatisk, når dokumentet åbnes.

To rettelser af mindre vigtighed berører Access Snapshot Viewer og http://www.microsoft.com/security/security_bulletins/ms03-034.asp" target="_blank">NETBIOS, som er en del af Windows' netværksfunktionalitet.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Jyske Bank

    GRC specialist til Digital Robusthed & Sikkerhed

    Midtjylland

    Erhvervsakademi København

    Erhvervsakademi København (EK) søger underviser til PBA i cybersikkerhed

    Københavnsområdet

    Unik System Design A/S

    Strong Technical Project Manager with international experience

    Sydjylland

    Statens IT

    IT-projektleder hos Statens It

    Københavnsområdet

    Se flere it-stillinger
    Platform X 2026: Forretning, teknologi og transformation

    Event: Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27 maj 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Khaled Zamzam, er pr. 1. marts 2026 ansat hos Immeo som Consultant. Han er nyuddannet i Informationsteknologi fra DTU. Nyt job

    Khaled Zamzam

    Immeo

    Renewtech ApS har pr. 1. marts 2026 ansat Emil Holme Fisker som Customer Service Specialist. Han skal især beskæftige sig med at levere høj kvalitets kundeservice og hjælpe Renewtechs kunder med at få de rette løsninger til deres behov. Han kommer fra en stilling som Key Account Manager hos Camro A/S. Han er uddannet som salgselev hos Camro A/S. Han har tidligere beskæftiget sig med at udvikle gode kunderelationer, opsøgende salg og udvikling af salgsaktiviteter. Nyt job

    Emil Holme Fisker

    Renewtech ApS

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Infosuite A/S har pr. 1. marts 2026 ansat Henrik Sandmann som Chief Operating Officer (COO). Han skal især beskæftige sig med drift, produktudvikling og skalering, herunder også procesforbedringer og udnyttelse af AI og nye teknologier. Han kommer fra en stilling som Program Director hos ADMG ApS. Han er uddannet cand. scient i datalogi og har derudover en MBA indenfor strategi, ledelse og forretningsudvikling. Nyt job

    Henrik Sandmann

    Infosuite A/S

    Se mere fra navnenyt

    Mest læste

    1 Guide: Her er de fire greb der gør Claude og ChatGPT meget skarpere
    2 Nye hacker-metoder breder sig - og det har ramt CEO Claus Holmgaard efter angreb: "Jeg er paranoid for tiden," siger han
    3 Kapitalfond erkender pres på Itm8: “Markedet har udviklet sig lidt mere afdæmpet end forventet”
    4 Morgen-briefing: Region Syddanmark oplever it-problemer: Hospital går analog / Vicedirektør stopper i Statens It / Domstol: AI er ikke fyringsgrund / SAP med to opkøb på én dag
    5 En af de største cyberfirmaer har fået lænset kildekode-depot: Omsætter for tocifret milliardbeløb
    6 Windows-opdatering fra april volder problemer: Microsoft bekræfter fejl
    7 GlobalConnects topchef Martin Lippert træder tilbage efter 13 år på posten: Her er hans afløser
    8 Danfoss og SDU lancerer lige nu den nye danske supercomputer Bitten i Sønderborg

    Se seneste uge