Microsofts sikkerhetsveiledning 919637

Et sikkerhetsproblem i Word kan tillate ekstern kjøring av kode

Microsoft undersøker nye offentliggjorte rapporter om begrensede "zero-day"-angrep ved hjelp av et sikkerhetsproblem i Microsoft Word XP og Microsoft Word 2003. For at dette angrepet skal kunne finne sted, må brukeren først åpne et skadelig Word-dokument som er lagt ved en e-post, eller som på en annen måte har nådd brukeren. Microsoft vil fortsette å undersøke offentliggjorte rapporter for å gi ytterligere hjelp til kundene ved behov.

Microsoft er i ferd med å fullføre utviklingen av en sikkerhetsoppdatering for Microsoft Word som retter opp dette sikkerhetsproblemet. Sikkerhetsoppdateringen er i avslutningsfasen og gjennomgår testing for å sikre kvalitet og kompatibilitet med programmer. Den utgis etter planen som en del av sikkerhetsoppdateringene for juni den 13. juni 2006, eller tidligere hvis det kreves.

Microsoft frykter at denne nye rapporten om et sikkerhetsproblem i Word ikke ble publisert på en ansvarlig måte og dermed satte PC-brukere i faresonen. Vi oppfordrer fortsatt til ansvarsfull publisering av sikkerhetsproblemer. Vi mener at den bredt aksepterte praksisen med å rapportere sikkerhetsproblemer direkte til produsenten er i alles interesse. Denne praksisen bidrar til å sikre at kunder mottar omfattende oppdateringer av høy kvalitet for sikkerhetsproblemer, uten eksponering overfor ondsinnede angripere mens sikkerhetsoppdateringen er under utvikling.

Generell informasjon

Oversikt

Målet med veiledningen: Å varsle kunder på et tidlig tidspunkt om det offentliggjorte sikkerhetsproblemet. Du finner mer informasjon i delen om løsninger og begrensninger og Forslag til tiltak i sikkerhetsveiledningen.

Status for veiledningen: Undersøkes.

Anbefaling: Ikke åpne eller lagre Microsoft Word-filer som du mottar fra ikke-klarerte kilder, eller som du mottar uventet fra klarerte kilder. Dette sikkerhetsproblemet kan utnyttes når en bruker åpner en fil.

Referanser	Identifisering
CERT-referanse	VU#446012
CVE-referanse	2006-2492

Denne veiledningen gjelder følgende programvare.

Berørt programvare

Microsoft Word 2002

Microsoft Word 2003

Vanlige spørsmål

Hva behandles i veiledningen?
Microsoft er oppmerksom på en ny rapport om et sikkerhetsproblem som berører Microsoft Word, som er en komponent i Microsoft Office. Dette sikkerhetsproblemet berører programvaren som vises på listen i delen Oversikt.

Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Microsoft er i ferd med å fullføre utviklingen av en sikkerhetsoppdatering for Microsoft Word som retter opp dette sikkerhetsproblemet. Sikkerhetsoppdateringen er i avslutningsfasen og gjennomgår testing for å sikre kvalitet og kompatibilitet med programmer. Den utgis etter planen som en del av sikkerhetsoppdateringene for juni den 13. juni 2006, eller tidligere hvis det kreves.

Hvilke versjoner av Microsoft Office Word berøres av denne veiledningen?
Denne veiledningen tar for seg funksjoner i Word 2002 og Word 2003.

Hva forårsaker sikkerhetsproblemet?
Når en bruker åpner en spesiallaget Word-fil ved hjelp av en misformet objektpeker, kan det ødelegge systemminnet slik at en angriper kan kjøre vilkårlig kode.

Hvordan kan en angriper utnytte sikkerhetsproblemet?
I et webbasert angrepsscenario må angriperen være vert for et webområde som inneholder en Office-fil som brukes til å forsøke å utnytte dette sikkerhetsproblemet. En angriper kan ikke tvinge brukere til å besøke et ondsinnet webområde. I stedet må angriperen lokke brukeren til å besøke webområdet, vanligvis ved å få ham eller henne til å klikke en kobling som fører til angriperens område.

I et e-postangrepsscenario kan en angriper utnytte dette sikkerhetsproblemet ved å sende en spesiallaget fil til brukeren og overtale ham eller henne til å åpne filen.

Hvorfor går en del av den midlertidige løsningen ut på å deaktivere Word som redigeringsprogram for e-post?
Outlook bruker Word hvis Word er angitt som redigeringsprogram for e-post. Når du prøver å starte Word ved å dobbeltklikke på filen, bruker programmet forekomsten som allerede er startet, på nytt. Hvis Word i stedet startes i sikkermodus mens Word allerede kjører i vanlig modus, brukes ikke sikkermodus. Derfor anbefales brukerne å slå av Word-e-post for å beskytte mot dette sikkerhetsproblemet.

Hvorfor går en del av den midlertidige løsningen ut på å kjøre Word i sikkermodus?
Å kjøre i sikkermodus hindrer at tilleggsprogrammer og i dette tilfelle skadelig programvare kjøres.

Jeg måtte kjøre Office-reparasjonsverktøyet, og nå åpnes ikke Word i sikkermodus. Hvorfor det?
Å kjøre i sikkermodus hindrer at ulike Office-funksjoner behandles. I den prosessen lastes ikke den sårbare koden inn.

Begrensende faktorer for ekstern kjøring av kode i Microsoft Word ved hjelp av et sikkerhetsproblem for et misformet objekt:

• Brukere med kontoer som er konfigurert med begrensede rettigheter for systemet, er mindre utsatt enn brukere som har administratorrettigheter.
• Når du kjører Office XP eller Office 2003, kan ikke sikkerhetsproblemet utnyttes automatisk via e-post. For at et angrep skal lykkes, må brukeren åpne vedlegget som fulgte med e-posten.
• På Office XP og Office 2003 kan ikke sikkerhetsproblemet utnyttes automatisk via et webbasert angrepsscenario. En angriper må være vert for et webområde som inneholder en Office-fil som brukes til forsøk på å utnytte dette sikkerhetsproblemet. En angriper kan ikke tvinge brukere til å besøke et ondsinnet webområde. I stedet må angriperen lokke brukeren til å besøke webområdet, vanligvis ved å få ham til å klikke en kobling som fører til angriperens område.
• Office 2000 er ikke sårbart overfor dette problemet.
• Bruk Word Viewer 2003 til åpne og vise filer. Word Viewer 2003 inneholder ikke den sårbare koden og er ikke utsatt for dette angrepet. Det kan lastes ned gratis fra http://www.microsoft.com/downloads/details.aspx?familyid=95E24C87-8732-48D5-8689-AB826E7B8FDF&displaylang=en.

Løsninger for Microsoft Word-kode, ekstern kjøring av kode ved hjelp av et sikkerhetsproblem for et misformet objekt:

Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de korrigerer imidlertid ikke det underliggende sikkerhetsproblemet. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette nedenfor.

Bruk alltid Microsoft Word i sikkermodus

Følg disse trinnene for alltid å bruke Microsoft Word i sikkermodus

Trinn 1 – Deaktiver Outlook-funksjonen som bruker Word som redigeringsprogram for e-post

For bedriftskunder

Manuell (brukermedvirkning)
Bedriftskunder følger disse trinnene for å deaktivere Outlook-funksjonen som bruker Word som redigeringsprogram for e-post:

Obs! Selv etter at du har tatt i bruk løsningene, må du ikke åpne Word-filer direkte fra NOEN e-postklienter, for eksempel Outlook eller Hotmail, ved å dobbeltklikke dem. Lagre Word-dokumentet på en disk eller på skrivebordet, og bruk snarveien Sikkermodus for Word.

1. Start datamaskinen på nytt.

1. Åpne Outlook
2. Klikk Verktøy, klikk Alternativer, og klikk deretter kategorien E-postformat.
3. Fjern merket for Bruk Microsoft Word for å redigere e-postmeldinger**.**
4. Fjern merket for Bruk Microsoft Word for å lese e-postmeldinger i rikt tekstformat.
5. Avslutt Outlook.
6. Start maskinen på nytt.

Hvis du vil ha mer informasjon om hvordan du slår av og på Word som redigeringsprogram for e-post, kan du se følgende webområde.

Hva løsningen kan føre til: Brukere kan ikke bruke Word som redigeringsprogram for e-post eller bruke rik tekst for å lese e-post.

Bruke gruppepolicy

Domeneadministratorer kan bruke gruppepolicy for å deaktivere Word som brukernes redigeringsprogram for e-post. Du trenger ikke starte datamaskinen på nytt for å implementere denne løsningen.

Hvis du vil ha informasjon om hvordan du bruker registernøkler med en gruppepolicy, kan du se Using Administrative Template Files with Registry-Based Group Policy og Distributing Registry Changes.

Obs! Selv etter at du har tatt i bruk løsningene som implementerer en registerendring, må du ikke åpne Word-filer direkte fra andre e-postklienter enn Outlook, for eksempel Hotmail, ved å dobbeltklikke dem.

Deaktiver WordMail i Word 2003

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Deaktiver WordMail i Word 2002

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail]

"EditorPreference"=dword:00020000

"UseWordMail"=dword:00000000

Hva løsningen kan føre til: Brukere kan ikke bruke Word som redigeringsprogram for e-post eller bruke rik tekst som standard for å lese e-post.

For hjemmebrukere

Brukere følger disse trinnene for å deaktivere Outlook-funksjonen som bruker Word som redigeringsprogram for e-post:

Obs! Selv etter at du har tatt i bruk løsningene, må du ikke åpne Word-filer direkte fra NOEN e-postklienter, for eksempel Outlook eller Hotmail, ved å dobbeltklikke dem. Lagre Word-dokumentet på en disk eller på skrivebordet, og bruk snarveien Sikkermodus for Word.

1. Start datamaskinen på nytt.

1. Åpne Outlook
2. Klikk Verktøy, klikk Alternativer, og klikk deretter kategorien E-postformat.
3. Fjern merket for Bruk Microsoft Word for å redigere e-postmeldinger**.**
4. Fjern merket for Bruk Microsoft Word for å lese e-postmeldinger i rikt tekstformat.
5. Avslutt Outlook.
6. Start maskinen på nytt.
7. Hvis du vil ha mer informasjon om hvordan du slår av og på Word som redigeringsprogram for e-post, kan du se følgende webområde.

Hva løsningen kan føre til: Brukere kan ikke bruke Word som redigeringsprogram for e-post eller bruke rik tekst som standard for å lese e-post.

Trinn 2 Legg til /safe til kommandolinjen WINWORD.EXE

For bedriftskunder

Å bruke Word i sikkermodus bidrar til å beskytte det berørte systemet mot forsøk på å utnytte dette sikkerhetsproblemet.

Alle Word-versjoner har en programgjenopprettingsfunksjon som gjør at Word kan kjøres i sikkermodus. Sikkermodus deaktiverer funksjonaliteten og hindrer at den sårbare koden utnyttes. Du finner alle begrensningene på: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Obs! Selv etter at du har tatt i bruk løsningene, må du ikke åpne Word-filer direkte fra NOEN e-postklienter, for eksempel Outlook eller Hotmail, ved å dobbeltklikke dem. Lagre Word-dokumentet på en disk eller på skrivebordet, og bruk snarveien Sikkermodus for Word.

1. Word viser SIKKERMODUS i tittelen hvis det kjøres i sikkermodus.
2. Høyreklikk på skrivebordet
3. Velg Ny/Snarvei
4. Velg Bla gjennom.
5. Finn winword.exe**.**
6. Legg til /safe på slutten av filplasseringen, etter anførselstegnet.
7. Klikk Neste, og gi snarveien navnet Sikkermodus for Word.
8. Klikk Fullfør.

Hvis du vil åpne et Word-dokument, følger du trinnene som er oppført under:

1. Lagre Word-dokumentet på en disk eller på skrivebordet.
2. Start Word ved hjelp av snarveien Sikkermodus for Word.
3. Klikk Fil, klikk Åpne, og gå til dokumentet du vil åpne.

Hva løsningen kan føre til: Brukere som arbeider i sikkermodus, vil være underlagt begrensningene som beskrives på denne hjelpesiden: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

Bedriftskunder som bruker gruppepolicy

Domeneadministratorer kan bruke gruppepolicy for å aktivere sikkermodus. Du trenger ikke starte datamaskinen på nytt for å implementere denne løsningen.

Obs! Selv etter at du har tatt i bruk løsningene som implementerer en registerendring, må du ikke åpne Word-filer direkte fra andre e-postklienter enn Outlook, for eksempel Hotmail, ved å dobbeltklikke dem.

Hvis du vil ha informasjon om hvordan du bruker registernøkler med en gruppepolicy, kan du se Using Administrative Template Files with Registry-Based Group Policy og Distributing Registry Changes.

Obs! De nøyaktige plasseringene for registernøklene er avhengig av installasjonsbanene for Office som brukes i hver bedrift. Registernøklene må bestemmes av IT-administratorene, slik at de blir identiske med de unike installasjonsbanene. Plasseringene som er oppført i eksemplene ovenfor, tilsvarer standardinstallasjonsbanene for Microsoft Office. For eksempel er standardbanen for Office 10 i engelsk Windows "c:\program files\microsoft office\office10".

Obs! For å sikre at Word startes i sikkermodus når du åpner, redigerer eller skriver ut dokumenter, må registerverdiene Default og Command i følgende registernøkler redigeres slik at de omfatter kommandolinjeparameteren "/safe" (uten anførselstegnene).

Hvis for eksempel Office 2003 er installert, bør Default-verdien endres slik at den ser slik ut: "C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde /safe, og Command-verdien bør endres slik at den ser slik ut: "']gAVn-}f(ZXfeAR6.jiWORDFiles>P`os,1@SW=P7v6GPl]Xh /n /dde /safe".

Obs! Command-verdien er en kodet streng som er versjons- og språkspesifikk, og det kan hende at den ikke vises nøyaktig slik det vises ovenfor, på alle systemer.

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\OpenAsReadOnly\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Document.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Backup.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Edit\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.RTF.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\New\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Open\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Print\command]

[HKEY_CLASSES_ROOT\Word.Template.8\shell\Printto\command]

[HKEY_CLASSES_ROOT\Word.Wizard.8\shell\New\command]

Hva løsningen kan føre til: Brukere som arbeider i sikkermodus, vil være underlagt begrensningene som beskrives på denne hjelpesiden: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

For hjemmebrukere

• Bruk Word i sikkermodus for hjemmebrukere

  Å bruke Word i sikkermodus bidrar til å beskytte det berørte systemet mot forsøk på å utnytte dette sikkerhetsproblemet.

  Alle Word-versjoner har en programgjenopprettingsfunksjon som gjør at Word kan kjøres i sikkermodus. Sikkermodus deaktiverer funksjonaliteten og hindrer at den sårbare koden utnyttes. Du finner alle begrensningene på: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx

  Obs! Selv etter at du har tatt i bruk løsningene, må du ikke åpne Word-filer direkte fra NOEN e-postklienter, for eksempel Outlook eller Hotmail, ved å dobbeltklikke dem. Lagre Word-dokumentet på en disk eller på skrivebordet, og bruk snarveien Sikkermodus for Word.

  1. Word viser SIKKERMODUS i tittelen hvis det kjøres i sikkermodus.
  2. Høyreklikk på skrivebordet
  3. Velg Ny/Snarvei
  4. Velg Bla gjennom.
  5. Finn winword.exe**.**
  6. Legg til /safe på slutten av filplasseringen, etter anførselstegnet.
  7. Klikk Neste, og gi snarveien navnet Sikkermodus for Word.
  8. Klikk Fullfør.

  Hvis du vil åpne et Word-dokument, følger du trinnene som er oppført under:

  1. Lagre Word-dokumentet på en disk eller på skrivebordet.
  2. Start Word ved hjelp av snarveien Sikkermodus for Word.
  3. Klikk Fil, klikk Åpne, og gå deretter til dokumentet du vil åpne.

  Hva løsningen kan føre til: Brukere som arbeider i sikkermodus, vil være underlagt begrensningene som beskrives på denne hjelpesiden: http://office.microsoft.com/en-us/assistance/HP030823931033.aspx.

Forslag til tiltak

Retningslinjer for Office-dokumenter i SIKKERMODUS

• Ikke åpne Word-filer som er innebygd i andre programmer, for eksempel Excel, PowerPoint og andre.

• Ikke åpne DOC-filer fra webområder via Internet Explorer eller andre weblesere.

• Hvis du ikke kan se Sikkermodus i Word-tittellinjen, kjører du ikke programmet i sikkermodus. Ikke prøv å åpne noen Word-filer. Du kan være sårbar overfor de skadelige DOC-filene.

• Du kan bruke Word Viewer 2003 til å åpne alle filtyper uten å bli berørt av sikkerhetsproblemet.

  Beskytt din PC

  Vi fortsetter å oppmuntre kunder til å følge våre råd om beskyttelse av PCen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet Beskytt din PC.

• Kunder kan finne mer informasjon om sikkerhet på Internett påhjemmesiden for Microsoft-sikkerhet.

• Kunder som tror de er angrepet, bør kontakte sitt lokale FBI-kontor eller legge inn en klage på webområdet for Internet Fraud Complaint Center. Kunder utenfor USA må kontakte lokale politimyndigheter i sitt eget land.

  Alle kunder bør bruke de nyeste sikkerhetsoppdateringene fra Microsoft for å bidra til å sikre at systemene er beskyttet mot forsøk på utnyttelse. Kunder som har aktivert Automatiske oppdateringer, mottar automatisk alle Windows-oppdateringer. Du finner mer informasjon om sikkerhetsoppdateringer på webområdet Microsoft Security.

• Vi anbefaler at kunder er svært forsiktige når de aksepterer filoverføringer fra både klarerte og ikke-klarerte kilder. Hvis du vil ha mer informasjon om hvordan du kan beskytte datamaskinen når du bruker MSN Messenger, kan du gå til MSN Messengers webområde Vanlige spørsmål.

  Hold Windows oppdatert

• Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.

Annen informasjon

Ressurser:

• Du kan gi oss tilbakemelding ved å fylle ut skjemaet på følgende webområde.
• Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte, ved å gå til webområdet Microsoft Hjelp og støtte.
• Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til webområdet for internasjonal støtte.
• Webområdet Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

• V1.0 (22. mai 2006): Veiledning publisert.
• V1.1 (2. juni 2006): Veiledning revidert for å oppdatere delen Vanlige spørsmål og gi ytterligere klarhet rundt delen Trinn 2 Legg til /safe til kommandolinjen WINWORD.EXE for Bedriftskunder som bruker gruppepolicy under Bruk alltid Microsoft Word i sikkermodus.

Built at 2014-04-18T01:50:00Z-07:00