Březnové záplaty Microsoftu - kritické opravy pro Office

Pro březnový "den záplat" připravila společnost Microsoft očekávané čtyři bezpečnostní opravy.
Březnové záplaty Microsoftu - kritické opravy pro Office

Tentokrát se netradičně všechny zaměřují na bezpečnostní zranitelnosti kancelářského balíku Microsoft Office. V článku vám přinášíme pravidelný stručný popis zveřejněných oprav a související odkazy ke stažení.

MS08-014 – zranitelnost v Excelu může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office 2000 SP3, Office XP SP3, Office 2003 SP2, Office 2007, Excel Viewer 2003, Office 2004 for Mac, Office 2008 for Mac

Tato kritická oprava řeší celkem 7 bezpečnostních chyb v kódu produktu Microsoft Excel ve všech výše uvedených kancelářských balících. Nalezené chyby umožní potenciálním útočníkům spustit libovolný nebezpečný kód - plně postačí, aby uživatel spolupracoval a otevřel podvržený speciálně upravený excelovský soubor. Zneužitím chyby může útočník získat kompletní kontrolu nad systémem.

Chyba nepostihuje kancelářský balík Office 2003 s nainstalovaným SP3 ani balík Office 2007 s nainstalovaným SP1. Rovněž sada nástrojů Microsoft Works touto chybou netrpí.

Aktualizačních balíčky můžete stáhnout zde:

Kompletní Security Bulletin MS08-014 si můžete přečíst ZDE.  

MS08-015 – zranitelnost v Outlooku může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office 2000 SP3, Office XP SP3, Office 2003 SP3, Office 2007

Zranitelnost, kterou řeší tento bezpeční bulletin, otevírá cestu pro potenciální útočníky pomocí poštovního klienta Microsoft Office. Meritem problému je nedostatečné ošetření odkazu typu "mailto:", který je kromě jiného často používán na webových stránkách pro aktivní propojení zveřejňované emailové adresy a poštovního programu uživatele. Pomocí speciálně upraveného "mailto URI" může dojít ke spuštění libovolného nebezpečného kódu útočníka. K úspěšnému útoku je třeba, aby Outlook byl nastaven jako primární poštovní program v systému uživatele.

Chyba nepostihuje kancelářský balík Office 2007 s nainstalovaným SP1.

Aktualizační balíčky můžete stáhnout zde:

Kompletní Security Bulletin MS08-015 si můžete přečíst ZDE.  

MS08-016 – zranitelnost v MS Office může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office 2000 SP3, Office XP SP3, Office 2003 SP2, Excel Viewer 2003, Office 2004 for Mac

Tato relativně lehce zneužitelná chyba se nachází v různých produktech kancelářské sady aplikací Microsoft Office. Pokud se potenciálnímu útočníkovi podaří donutit uživatele k otevření speciálně podvrženého dokumentu, může dojít ke spuštění libovolného nebezpečného kódu. Metody sociálního inženýrství překvapivě dobře fungují, a proto by zákeřně zasílané emailové zprávy s podvrženou přílohou mohly mít nečekaný "úspěch".

Chyba nepostihuje kancelářský balík Office 2003 s nainstalovaným SP3 ani balík Office 2007. Rovněž sada Microsoft Office 2008 for Mac není touto chybou postižena.

Aktualizační balíčky můžete stáhnout zde:

Kompletní Security Bulletin MS08-016 si můžete přečíst ZDE.  

MS08-017 – zranitelnost v Office Web Components může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office Web Components 2000, Office 2000 SP3, Office XP SP3, Visual Studio .NET 2002 SP1, Visual Studio .NET 2003 SP1 , Microsoft BizTalk Server 2000, Microsoft BizTalk Server 2002, Microsoft Commerce Server 2000, Internet Security and Acceleration Server 2000 SP2

Bezpečnostní chyba, popisovaná v rámci bulletiun MS08-017, se nachází ve webových komponentech programové sady Office, konkrétně pak v komponentách Microsoft Office Web Components 2000. Tyto komponenty bohužel využívá celá řada dalších produktů. Kritická bezpečnostní chyba nabízí potenciálním útočníkům cestu, jak pomocí pouhého zobrazení podvržené webové stránky na uživatelském počítači spustit libovolný nebezpečný kód. Po úspěšném zneužití chyby dostává útočník kompletní přístup k uživatelově systému.

Chyba nepostihuje kancelářský balík Office 2003 s nainstalovaným SP2 nebo SP3 a ani balík Office 2007. Rovněž sada nástrojů Microsoft Works zůstává imunní vůči tomuto problému.

Veškeré aktualizační balíčky pro konkrétní verzi produktu a kompletní Security Bulletin MS08-017 můžete najít ZDE
 

Nová verze Windows Malicious Software Removal Tool

Tradiční součástí každoměsíčních záplat je i čerstvě aktualizovaný nástroj Windows Malicious Software Removal Tool. Nástroj se po stažení automaticky jednorázově spustí, zkontroluje přítomnost známého malware a případně provede jeho odstranění. Hlavní síla nástroje spočívá v plošném nasazení u uživatelů.

Aktualizovanou verzi produktu 1.39, která do definičních souborů doplnila nový malware pod názvem Win32/Virtumonde a Win32/Vundo, můžete stahovat zde.

Další kolo v dubnu

Uživatelům postižených produktů samozřejmě doporučujeme instalaci opravného balíčku – ať již pomocí ručního stažení záplaty nebo za asistence Windows Update. Pokud máte nastavenu automatickou aktualizaci, záplaty se v případě potřeby samy přihlásí o pozornost nebo přímo automaticky nainstalují.

Další pravidelná porce oprav by měla být zveřejněna v úterý 8. dubna 2008.

Váš názor Další článek: CeBIT: A-Data vystavovala „flešku“ pro eSATA rozhraní

Témata článku: Microsoft, Kancelářský balík, Útočník, Microsoft Excel, Microsoft Security, Works, Libovolný kód, Zranitelnost, Záplata, Office 2010, Nový malware, Zneužitelná chyba, Office 2007, Office, Podvržený soubor, Ruční stažení, Office 2013, Oprava, Chyba


Určitě si přečtěte

Apple dal do MacBooku procesor Core i9 a 4TB SSD. Ani se neptejte, co za to chce...

Apple dal do MacBooku procesor Core i9 a 4TB SSD. Ani se neptejte, co za to chce...

** Apple aktualizoval notebooky MacBook Pro, dostaly nový hardware ** Těšit se můžete na nové procesory a větší paměť ** Cena nejvybavenějšího modelu překročí 200 tisíc korun

Martin Miksa | 99

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 58

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 58

Sonda Dawn prolétá jen 35 km od trpasličí planety Ceres a posílá úchvatné fotografie!

Sonda Dawn prolétá jen 35 km od trpasličí planety Ceres a posílá úchvatné fotografie!

** Sonda Dawn zkoumá trpasličí planetu Ceres od března 2015 ** Sonda nyní přešla na novou dráhu, nejblíže se dostává k povrchu na vzdálenost jen 35 km ** Ceres je největší planetkou hlavního pásu mezi Marsem a Jupiterem

Petr Kubala | 4

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 27

Temný režim a spousta vychytávek. Vyzkoušeli jsme nový macOS 10.14 Mojave

Temný režim a spousta vychytávek. Vyzkoušeli jsme nový macOS 10.14 Mojave

** Vyzkoušeli jsme veřejnou betu macOS 10.14 Mojave ** Hlavní novinkou je temný režim a velký důraz na soukromí ** Jako první beta je systém překvapivě rychlý a dobře použitelný.

Martin Miksa | 35

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny