Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 23/8/2002
Et rettelsesprogram fra Microsoft prøver at fjerne en sårbarhed, der har været kendt siden marts. Men pc'er kan let blive sårbare igen.Rettelsen tager sig af tre sårbarheder i Office Web Components 2000 og 2002. Det er et sæt ActiveX-komponenter, der gør det muligt at køre dele af Office-applikationerne i et browser-vindue. Sårbarhederne gør det muligt fra en angribers web-side at få udført kommandoer på den pc, som browseren kører på. Angriberen kan også læse filer på pc'en.
Office Web Components (OWC) er leveret med en lang række programmer, herunder Office 2000 og XP. Microsoft anbefaler, at man installerer rettelsen. Men firmaet indrømmer samtidig, at det ikke vil have den store effekt: En angriber kan nemlig bare placere en af de gamle, sårbare versioner af komponenterne på sin web-side. Så vil den blive hentet ned på pc'en, medmindre brugeren har slået ActiveX fra eller bedt om at blive spurgt, før en komponent bliver hentet.
Microsoft kunne have gjort den sårbare version af komponenterne ugyldig. Det kan man gøre, når der opdages en sårbarhed i en komponent: Så udgiver man en ny og gør den gamle ugyldig, så systemet ikke længere vil bruge den. Men det har firmaet valgt ikke at gøre. Begrundelsen er, at der findes mange applikationer, der anvender de sårbare komponenter, og de vil holde op med at virke, hvis komponenterne gøres ugyldige.
Rettelsesprogrammet indgår i Office XP Service Pack 2. Det ser ikke ud til, at den er kommet til den danske version af Office XP. Derudover er der enkeltstående rettelsesprogrammer, som kan hentes hos Microsoft.
Hvis man vil undgå at geninstallere den sårbare komponent, anbefaler Microsoft, at browseren ikke automatisk skal stole på nogen. Det gør man ved at gå i menuen Funktioner og vælge Internetindstillinger. Her klikker man på fanebladet Indhold. Klik på knappen Udgivere og fjern alle certifikater på listen. Herefter vil browseren spørge først, hver gang den prøver at hente en komponent.