Microsoft-slendrian rammer Office-brukere

Bruker du Office 95, 97 eller 2000 mot databaser, utsetter du deg selv for mulige alvorlige overgrep. Microsoft har nettopp lagt ut fikser, men du må selv sørge for å hente dem og installere dem.

Det er nylig avslørt at databasemotoren Jet som nyttes av applikasjonene i Microsofts kontorsuite Office, inneholder to alvorlige sikkerhetshull. Datasnoker som kjenner til disse hullene, kan nytte dem til å overta full kontroll over din PC. Det er ennå ikke meldt om at slike overgrep har funnet sted. Microsoft har lagt ut fikser på sitt nettsted, og anbefaler brukere av Office 97 og Office 2000 å oppgradere sine systemer.

Hullet kalt "VBA Shell" gjør det mulig å legge en kommando til operativsystemet i en spørring mot en database, slik at kommandoen eksekveres når spørringen kjøres. Office legger opp til at slike spørringer blant annet kan kjøres fra et regneark under Excel. Ødeleggende eller på annen måte ondsinnede kommandoer kan altså lures inn i ethvert regneark som kjøres mot en eller annen database.

Hullet "Text I-ISAM" er en svakhet i måten Jet ordner utveksling av informasjon med andre systemer. Jet åpner for at man kan bruke det til å endre systemfiler på andres maskiner. Systemfiler kan altså endres gjennom en databasespørring.

"VBA Shell" rammer Office 95 og 97, og en applikasjon i Office 2000: databasen Access2000.

"Text I-ISAM" rammer alle utgaver av Office.

Microsoft understreker selv at Office-brukere kan utsettes seg selv for overgrep bare ved å besøke et ondartet nettsted.

Microsoft sier videre at Jet brukes av en rekke programmer i tillegg til dem i Office-serien, og at flere av disse stammer fra uavhengige utviklere. Microsoft har bare identifisert sikkerhetshull i tilknytning til måten Office gjør bruk av Jet. Selskapet anbefaler likevel at alle Jet-brukere, ikke bare de med Office, går til Microsofts nettsted og laster ned fiksen.

Til toppen