Týden po záplatové smršti další díra v Excelu

  • 18
Od minulého týdne, kdy Microsoft vydal velký balík záplat se již objevily dvě chyby v tabulkovém procesoru Excel. I samotné opravy mají určité nedostatky, v některých případech dokonce zamezí připojení k internetu.

Poslední bezpečnostní chyba činí Excel velmi zranitelným – po otevření mailu se škodlivým kódem dojde k pádu programu. Dle společnosti Symantec dokonce existuje riziko, že je skrze tuto díru možné počítač ovládnout.

Chyba spočívá v tom, že Excel nekorektně kontroluje uživatelská vstupní data před tím, než je zkopíruje do příliš malé vyrovnávací paměti. Dle informací Microsoftu jde o chybu ve Windows, která se projeví při kliknutí na hypertextový odkaz na dokument MS Office.

Bezpečnostní společnost Secunia považuje chybu za velmi kritickou. Na internetu již koluje kód, který tuto chybu využívá, nicméně Secunia zatím nezjistila žádné napadení v důsledku této bezpečnostní díry.

Minulý týden byla odhalena jiná chyba, opět ve vztahu k Excelu. Ta dávala útočníkovi možnost kontroly napadeného systému, stačilo podstrčit excelový dokument se škodlivým kódem a počkat až ho uživatel otevře.

Chyby byly odhaleny jen několik dní po velkém balíku záplat, což podle některých odborníků není náhoda – Microsoft vydává opravné patche jen jednou za měsíc a tak mají tvůrci škodlivých kódů dost času chybu zneužít.

Microsoft doporučuje změnit nastavení tak, aby excelové dokumenty nešly otevírat z mailového klienta nebo webových stránek. Uživatelé Excel 2003 by také měli zabránit běhu programu v „opravném režimu“ úpravou nastavení v registrech systému.

Bez chyb se neobešly ani samotné opravné soubory. Oprava MS06-025 způsobuje nefunkčnost některých druhů dial-up připojení do sítě – není proto doporučeno ji instalovat, na její opravě se pracuje. 


Témata: napadení, software