Březnové záplaty Microsoftu - kritické opravy pro Office

Pro březnový "den záplat" připravila společnost Microsoft očekávané čtyři bezpečnostní opravy.
Březnové záplaty Microsoftu - kritické opravy pro Office

Tentokrát se netradičně všechny zaměřují na bezpečnostní zranitelnosti kancelářského balíku Microsoft Office. V článku vám přinášíme pravidelný stručný popis zveřejněných oprav a související odkazy ke stažení.

MS08-014 – zranitelnost v Excelu může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office 2000 SP3, Office XP SP3, Office 2003 SP2, Office 2007, Excel Viewer 2003, Office 2004 for Mac, Office 2008 for Mac

Tato kritická oprava řeší celkem 7 bezpečnostních chyb v kódu produktu Microsoft Excel ve všech výše uvedených kancelářských balících. Nalezené chyby umožní potenciálním útočníkům spustit libovolný nebezpečný kód - plně postačí, aby uživatel spolupracoval a otevřel podvržený speciálně upravený excelovský soubor. Zneužitím chyby může útočník získat kompletní kontrolu nad systémem.

Chyba nepostihuje kancelářský balík Office 2003 s nainstalovaným SP3 ani balík Office 2007 s nainstalovaným SP1. Rovněž sada nástrojů Microsoft Works touto chybou netrpí.

Aktualizačních balíčky můžete stáhnout zde:

Kompletní Security Bulletin MS08-014 si můžete přečíst ZDE.  

MS08-015 – zranitelnost v Outlooku může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office 2000 SP3, Office XP SP3, Office 2003 SP3, Office 2007

Zranitelnost, kterou řeší tento bezpeční bulletin, otevírá cestu pro potenciální útočníky pomocí poštovního klienta Microsoft Office. Meritem problému je nedostatečné ošetření odkazu typu "mailto:", který je kromě jiného často používán na webových stránkách pro aktivní propojení zveřejňované emailové adresy a poštovního programu uživatele. Pomocí speciálně upraveného "mailto URI" může dojít ke spuštění libovolného nebezpečného kódu útočníka. K úspěšnému útoku je třeba, aby Outlook byl nastaven jako primární poštovní program v systému uživatele.

Chyba nepostihuje kancelářský balík Office 2007 s nainstalovaným SP1.

Aktualizační balíčky můžete stáhnout zde:

Kompletní Security Bulletin MS08-015 si můžete přečíst ZDE.  

MS08-016 – zranitelnost v MS Office může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office 2000 SP3, Office XP SP3, Office 2003 SP2, Excel Viewer 2003, Office 2004 for Mac

Tato relativně lehce zneužitelná chyba se nachází v různých produktech kancelářské sady aplikací Microsoft Office. Pokud se potenciálnímu útočníkovi podaří donutit uživatele k otevření speciálně podvrženého dokumentu, může dojít ke spuštění libovolného nebezpečného kódu. Metody sociálního inženýrství překvapivě dobře fungují, a proto by zákeřně zasílané emailové zprávy s podvrženou přílohou mohly mít nečekaný "úspěch".

Chyba nepostihuje kancelářský balík Office 2003 s nainstalovaným SP3 ani balík Office 2007. Rovněž sada Microsoft Office 2008 for Mac není touto chybou postižena.

Aktualizační balíčky můžete stáhnout zde:

Kompletní Security Bulletin MS08-016 si můžete přečíst ZDE.  

MS08-017 – zranitelnost v Office Web Components může spustit kód

Stupeň důležitosti: kritická oprava

Postižené produkty: Office Web Components 2000, Office 2000 SP3, Office XP SP3, Visual Studio .NET 2002 SP1, Visual Studio .NET 2003 SP1 , Microsoft BizTalk Server 2000, Microsoft BizTalk Server 2002, Microsoft Commerce Server 2000, Internet Security and Acceleration Server 2000 SP2

Bezpečnostní chyba, popisovaná v rámci bulletiun MS08-017, se nachází ve webových komponentech programové sady Office, konkrétně pak v komponentách Microsoft Office Web Components 2000. Tyto komponenty bohužel využívá celá řada dalších produktů. Kritická bezpečnostní chyba nabízí potenciálním útočníkům cestu, jak pomocí pouhého zobrazení podvržené webové stránky na uživatelském počítači spustit libovolný nebezpečný kód. Po úspěšném zneužití chyby dostává útočník kompletní přístup k uživatelově systému.

Chyba nepostihuje kancelářský balík Office 2003 s nainstalovaným SP2 nebo SP3 a ani balík Office 2007. Rovněž sada nástrojů Microsoft Works zůstává imunní vůči tomuto problému.

Veškeré aktualizační balíčky pro konkrétní verzi produktu a kompletní Security Bulletin MS08-017 můžete najít ZDE
 

Nová verze Windows Malicious Software Removal Tool

Tradiční součástí každoměsíčních záplat je i čerstvě aktualizovaný nástroj Windows Malicious Software Removal Tool. Nástroj se po stažení automaticky jednorázově spustí, zkontroluje přítomnost známého malware a případně provede jeho odstranění. Hlavní síla nástroje spočívá v plošném nasazení u uživatelů.

Aktualizovanou verzi produktu 1.39, která do definičních souborů doplnila nový malware pod názvem Win32/Virtumonde a Win32/Vundo, můžete stahovat zde.

Další kolo v dubnu

Uživatelům postižených produktů samozřejmě doporučujeme instalaci opravného balíčku – ať již pomocí ručního stažení záplaty nebo za asistence Windows Update. Pokud máte nastavenu automatickou aktualizaci, záplaty se v případě potřeby samy přihlásí o pozornost nebo přímo automaticky nainstalují.

Další pravidelná porce oprav by měla být zveřejněna v úterý 8. dubna 2008.

Váš názor Další článek: CeBIT: A-Data vystavovala „flešku“ pro eSATA rozhraní

Témata článku: Microsoft, Works, Záplata, Office 2010, Zneužitelná chyba, Microsoft Security, Aktualizovaný nástroj, Office 2007, Office, Kancelářský balík, Microsoft Excel, Podvržený soubor, Kritická oprava, Útočník, Libovolný kód, Zranitelnost, Ruční stažení, Nový malware, Oprava, Plošné nasazení, Chyba, Office 2013, Nejlepší kancelářský počítač na Mall.cz


Určitě si přečtěte

Velká analýza 10 000 největších webů ukázala, že jsou tak nějak všechny stejné

Velká analýza 10 000 největších webů ukázala, že jsou tak nějak všechny stejné

** Podoba webů se za těch 30 let dramaticky proměnila ** Dnes jsou ale poměrně uniformní – podobné ** Ukazuje to i analýza z Indianské univerzity

Jakub Čížek | 34

Nové názvy, upravený vývoj. Microsoft ukázal, jak teď bude vydávat Windows 10

Nové názvy, upravený vývoj. Microsoft ukázal, jak teď bude vydávat Windows 10

** Podzimní vydání Windows 10 přinese jen minimum novinek ** Aktualizace ponese formální označení 20H2 ** Microsoft mění názvy v programu Windows Insider

Lukáš Václavík | 17

Jak se žije s telefonem bez Googlu: Čerstvé zkušenosti s telefony Honor a Huawei

Jak se žije s telefonem bez Googlu: Čerstvé zkušenosti s telefony Honor a Huawei

** Honor u nás přichází s prvním telefonem bez Google Mobile Services ** Současný stav je lepší než na začátku, ideální ale není ** Zkusili jsme i hack s ručním přidáním služeb Googlu

Tomáš Holčík | 148

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

** Apple, vývojáře i uživatele rozhodně nečekají dva roky prázdnin ** macOS se může uzavřít podobně jako iOS a iPadOS ** Přechod na Arm znamená stopku pro hackintoshe

Lukáš Václavík | 102

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

** Britský Canonical před pár dny vydal novou verzi svého Ubuntu ** 20.04 LTS zapracovalo na grafickém desktopu, rychlosti i bezpečnosti ** V nitru tepe Linux 5.4 a volitelně i nový souborový systém

Jakub Čížek | 122


Aktuální číslo časopisu Computer

Megatest SSD s kapacitou 1 TB

Srovnávací test robotických vysavačů

Vybíráme nejlepší telefony na trhu

Jak zlepšit zvuk televize