A „kritikus” minősítésű hiba a Visaul Basic for Applications (VBA) technológiában található, és abban áll, hogy miközben a VBA ellenőrzi egy dokumentum tulajdonságait, lehetővé teszi a támadónak, hogy ártó kódot futtasson az áldozat gépén. Ehhez a támadónak csupán rá kell vennie az áldozatot, hogy megnyissa az általa írott dokumentumot, amelynek típusa bármilyen lehet, amit a VBA támogat. Mivel a Wordöt az Outlook e-mail szerkesztőjeként is lehet használni, így a támadó e-mailben is támadhat, ehhez csak azt kell elérnie, hogy az áldozat továbbítsa az üzenetet, vagy válaszoljon rá. „Fontos” minősítést kapott az a hiba a Wordben, amely lehetővé teszi, hogy automatikusan lefusson egy makró, ahelyett, hogy előbb rákérdezzen a felhasználótól, vagy a felhasználó által beállított szinten tenné ezt.
Szintén „fontos” minősítésű az a puffer túlcsordulás sebezhetőség a WordPerfect Converterben, amely bizonyos paramétereket nem hitelesít pontosan egy WordPerfect dokumentum megnyitásakor, így a támadó egy speciálisan létrehozott WordPerfect dokumentum segítségével kódot futtathat az áldozat gépén, ha rá tudja venni a dokumentuma megnyitására. A negyedik, „mérsékelt” minősítésű hiba az Access Snapshot Viewer eszközben található, amely lehetővé teszi az Access adatbázisok megtekintését akkor is, ha az Access nincs a gépre installálva. A hiba a megtekintő által használt egyik ActiveX vezérlőben található, amely akkor használható ki, ha a támadó a speciálisan szerkesztett ártó kódot tartalmazó weboldalra tudja csábítani áldozatát.
Új Office hibákra figyelmeztet a Microsoft
Hirdetés
Hirdetés