Hopp til navigasjon Hopp til innhold

Word-dokument kan stjele filer

En sikkerhetsbrist i tesktbehandlingsprogrammet Word kan la folk stjele filer fra harddisken din uten at du merker det.

Microsoft har blitt oppmerksomme på et nylig oppdaget potensielt sikkerhetshull i sitt umåtelig populære program Word.

Ifølge CNet News ble hullet først offentliggjør på den populære Bugtraq-listen i slutten av august, men nå går altså Microsoft selv ut og advarer om at uvedkommende under visse forutsetninger har muligheten til å stjele filer via word-dokumenter.

Inkluderende

Men det skal litt vevilje til. Det hele dreier seg nemlig om det skjulte feltet INCLUDETEXT, som kan bakes mer eller mindre usynlig inn i Word-dokumentet. Denne koden kan så sørge for å finne frem spesifikke filer på brukerens harddisk, kopiere disse inn i dokumentet, og – ved å for eksempel bruke en liten, hvit skrift – fremdeles forbli så godt som usynlig for leseren.

Dette kan altså potensielt bli brukt til å rappe dokumenter og filer, hvis noen for eksempel fikk deg til å motta et Word-dokumentet, åpne det (slik at INCLUDETEXT-kommandoen kjøres), lagre det igjen, og så sender det videre eller tilbake til mottakeren (da med det stjålne dokumentet inkludert – uten din viten).

En annen sak er at INCLUDETEXT-koden må på forhånd vite den nøyaktige filbanen og navnet på filen som skal stjeles.

Patch kommer

Sikkerhetshullet skal visstnok vær mest sårbart i Word 97, men er også tilstede i Word 2000 og Word 2002/XP.

Microsoft jobber med å fikse problemet, men kan ikke si når en sikkerhetsoppdatering vil bli gjort tilgjengelig. I mellomtiden er den eneste måten å avsløre et slikt «tyveriforsøk» på å sjekke feltene i dokumentet manuelt.