"скрепка из MSWORD" представляет собой большой риск

Team Void


Microsoft Office 2000 поставляется вместе с компонентом управления ActiveX, называемым Microsoft Office UA Control, который устанавливается по умолчанию и рассматривается, как безопасный. Этот компонент не документирован, и предназначен он для помощи начинающим пользователям. Основная задача - интерактивная помошь, а также обеспечение функционирования той самой надоедливой скрепки, которая, думаю, успела достать не одного пользователя своими советами.

Анализ интерфейса этого компонента привел к тому, что он авторизован на совершение практически любых действий в пределах среды Microsoft Office'a, которое можно ввести с клавиатуры, включая и понижение установок безопасности до минимума. И поскольку это действие может быть совершено удаленно с помощью любой HTML-страницы, будь она в Internet Explorer'e или Outlook'e на пару с включенным Active Scripting'oм, угроза становится весьма опасной, так как интерфейс этой компоненты представляет собой автоматизацию исполнения комманд в среде Office 2000.

Далее мы проведем демонстрацию уязвимости этого компонента, которая проделает следующие шаги:

• 1. Запускает копию Microsoft Word посредством указания фрейма таблицы на документ Word'a без макросов и какого - нибудь активного содержимого.
• 2. Программно создает компонент управления UA.
• 3. Присоединяет компонент к первой копии Microsoft Word.
• 4. Делает окно с Word активным приложением.
• 5. Показывает диалоговое окно Tools/Macro/Security.
• 6. Нажимает на radiobutton cо значением LOW security.
• 7. Нажимает на кнопку OK для поттверждения изменения.
• 8. Переходит к обработке URL документа Word с макро, который запускается без какого - либо участия со стороны пользователя.
• Теперь становится абсолютно ясно , что если Melissa- или ILoveYou-подобный вирус будут использовать этот компонент для распространения, то их уже не смогут остановить никакие проверки на вирусы в макро, и они могут легко пробить себе путь к остальным людям из адресной книги.

 rchik.

---