Дата публикации: | 17.10.2002 |
Всего просмотров: | 1425 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Word и Excel обеспечивают механизм, через который данные из одного документа могут быть вставлены и модифицированы в другом документе. Этот механизм, известный как “field codes” в Word и в "External Updates" Excel, может быть автоматизирован, чтобы уменьшить количество ручной работы пользователя. Примером использования “field codes” Word может быть автоматическая вставка стандартного параграфа отказа в юридическом документе. Примером использования "External Updates" в Excel может быть автоматическое обновление диаграммы в одной электронной таблице, используя данные в другой электронной таблице. Уязвимость позволяет злонамеренно использовать “field codes” и "External Updates", чтобы захватить информацию от пользователя, без какого либо уведомления или предупреждения. Некоторые события могут вызвать “field codes” и "External Updates", которые будут модифицированы, типа сохранения документа или ручного обновления ссылки. Обычно пользователь узнал бы, что произошла модификация, однако специально обработанный “field codes” и "External Updates" может использоваться, чтобы выполнить модификацию без предупреждения пользователя. Это позволяет атакующему создать документ, который при открытии модифицирует себя, и включит содержание файла в компьютере местного пользователя. Для успешной эксплуатации уязвимости, нападающий должен выполнить следующие шаги:
Существует способ, когда документ может быть послан непосредственно на Web сайт, однако в этом случае сайт получит только первую строку документа. Уязвимость обнаружена в Microsoft(r) Word and Microsoft(r) Excel |