I går offentliggjorde Microsoft hele fem sikkerhetsbulletiner. Det er oppdaget flere tilfeller av usikrede buffere, i Office-programmene generelt og tekstbehandleren Word spesielt. De kan utnyttes til å ta kontroll over andres PC-er, vel å merke på betingelse av at man får offeret til å laste ned et dokument med makroer eller VBA-rutiner (Visual Basic for Applications) som utnytter sårbarhetene. Microsoft har lagt ut fikser for alle sikkerhetshullene. Disse er av en foreløpig type som kan gjøre det svært komplisert for vanlige brukere å sikre seg fullt ut. Ikke bare krever hvert nytt hull sin egen fiks, men dersom man kjører applikasjoner fra ulike Office-varianter, for eksempel Word 2002 og Visio 2000, må man installere forskjellige fikser for å tette det samme VBA-hullet hos begge. Det kan også være problemer knyttet til tredjepartsapplikasjoner som utnytter VBA. Microsoft sier de arbeider med leverandører for å kunne sikre også disse produktene.
I Flaw in Visual Basic for Applications Could Allow Arbitrary Code Execution gjør Microsoft rede for det mest alvorlige av de nyoppdagede hullene. Sårbarheten rammer VBA 5.0, 6.0, 6.2 og 6.3, og følgelig også alle de store applikasjonene i Office 97, 98, 2000 og XP, i tillegg til Works Suite i variantene 2001, 2002 og 2003, samt Visio 2000 og 2002.
Feilen dreier seg om en usikret buffer i en rutine der mottakeren av et dokument sjekker hvorvidt dokumentet krever VBA eller ikke. VBA validerer ikke korrekt datautvekslingen i denne rutinen, og det er følgelig mulig å lage et dokument som utnytter dette til å formidle aktiv ondsinnet kode.
Utfordringen for hackeren blir å få offeret til å åpne dokumentet som kan sendes som vedlegg til e-post eller legges ut på et nettsted. Dersom du bruker Word som e-postredigerer – det er standardinnstillingen i Office XP – vil den ondsinnede koden aktiveres dersom du besvarer eller videresender et infisert dokument. Bare å lese e-posten vil ikke utløse smitte.
I Flaw in Microsoft Word Could Enable Macros to Run Automatically gjelder advarselen og fiksen Word 97, 98, 2000 og 2002, samt Works 2001, 2002 og 2003. Sårbarheten går ut på at en annen usikret buffer kan utnyttes til å kjøre en makro straks et dokument åpnes. Igjen må altså en eventuell hacker lure deg til å laste ned et infisert dokument.
En tredje måte å lage et råttent dokument for å ta over andres PC-er, er beskrevet i Buffer Overrun in WordPerfect Converter Could Allow Code Execution. Det er mulig å lage et dokument i det tidligere svært så populære WordPerfect-formatet, slik at det utnytter en usikret buffer i Microsofts konverteringsrutine til å kjøre ondsinnet kode. Feilen gjelder Office 97, 2000 og XP, Word 98, FrontPage 2000 og 2002, Publisher 2000 og 2002, samt Works 2001, 2002 og 2003. Dessverre er fiksen for den forskjellig fra dem for de to sårbarhetene nevnt ovenfor.
Det er med andre tre ulike fikser Microsoft ber alle alminnelige Office-brukere installere så fort som mulig. Det er ikke kjent når det kan dukke opp en samlefiks. Merk at også Office 98, altså den for Apple Mac, er rammet.
Brukere av Office-databasen Access har nok en plage å ta stilling til: Unchecked buffer in Microsoft Access Snapshot Viewer Could Allow Code Execution. Feilen gjelder Access 97, 2000 og 2002, samt brukere av Access Snapshot Viewer, et program som gjør det mulig å lese en Access-database uten å installere selve Access. En usikret buffer i en ActiveX-kontroll gjør det mulig å forme en databasefunksjon slik at man kan overføre aktiv og ondsinnet kode. Fiksen hindrer dette fra å skje, både i Access og i Snapshot Viewer.
Den femte bulletinen Microsoft la ut i går, Flaw in NetBIOS Could Lead to Information Disclosure, gjelder Windows NT4 Server, 2000, XP og den helt nye Windows 2003 Server. Anbefalingen er ikke å installere fiksen straks, men å vurdere hvorvidt man trenger den.
