                             

                              - D I S I D E N T S - H A C K  J O U R N A L -
 
                                                Numero 2
                                                  XXV








 TITLE: Office 2000. escriba usted bonitos curriculums y deje que toda la red los lea.  
 Author: w3ndig0
 DISIDENTS ESPAA 2001 -  LOS FUERA DE LA LEY





-------------------------------------------------------------------------------------------------
----[ INDICE ]-----------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------
----[ 1. Introduccion										-
----[ 2. Inseguridad										-
----[ 3. Que es un activeX									-
----[ 4. Motivo de la inseguridad								-			
----[ 5. Que activeX es?									-	
----[ 6. Que pueden hacer con esto?								-	
----[ 7. Otras cuestiones y Soluciones - referencias 						-
-------------------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------------------
----------------[ 1. Introduccion]---------------------------------------------------------------
-------------------------------------------------------------------------------------------------

Alguna vez pensasteis que un paquete de oficina como es office 2000 puediese traer
problemas de seguridad?...inquietante no es cierto?..

-------------------------------------------------------------------------------------------------
-------------[ 2. Inseguridad]-------------------------------------------------------------------
-------------------------------------------------------------------------------------------------
 Permite que un administrador mal intencionado pueda realizar operaciones sobre la
maquina de la persona que visita esta web, esto se realiza mediante un ActiveX.

-------------------------------------------------------------------------------------------------
----------------[ 3. Que es un activeX]----------------------------------------------------------
-------------------------------------------------------------------------------------------------
 Un activeX es denominado comunmente Control, por ejemplo, botones para una web, estos
poseen una serie de propiedades o metodos, por ejemplo, el color seria una propiedad, la
apariencia, en definitiva son pequeos programas.

 Los activeX son llamados por otros programas, utilizados, compartidos etc..

	A los que estais familiarizados con la programacion. obviamente un activeX es uno
de esos controles que introducimos en nuestros proyectos.

-------------------------------------------------------------------------------------------------
--------------[ 4. Motivo de la inseguridad]-----------------------------------------------------
-------------------------------------------------------------------------------------------------
 Si todos los activeX pueden ser llamados por otros programas eso quiere decir que bien
podriamos llamar desde nuestra web a cualquiera no?..bueno en teoria no.

	Hay categorias, si nuestro browser es el Internet Explorer, por defecto no permite
la ejecucion de ningun ActiveX que no se encuentre marcado como seguro. Bien que es esto
de seguro o no seguro?

	Microchof lo denomina "safe for scripting", se supone que los activeX marcados como
safe for scripting no permiten que nada de lo que se haga afecte al usuario y por tanto nuestro
IE permite su ejecucion sin problemas.
        
        Si el activeX no esta marcado como "safe for scripting" simplemente no se permite la
ejecucion y no pasa nada.

	Que pasa si un ActiveX es marcado como safe for scripting por error?..pues que es accesible
desde cualquier web que lo llame. Crasso error ya que dependiendo de lo que este activeX permita
podremos tener serios problemas...bien pues esto es lo que sucede en el caso del office 2000 tenemos
un activeX marcado como safe for scripting, lo cual permite que sea accesible desde cualquier web.

-------------------------------------------------------------------------------------------------
--------------[ 5. Que activeX es?]--------------------------------------------------------------
-------------------------------------------------------------------------------------------------
	Se trata del office 2000 ua control.

-------------------------------------------------------------------------------------------------
--------------[ 6. Que pueden hacer con esto?]---------------------------------------------------
-------------------------------------------------------------------------------------------------
	Al tratarse de office, todo lo que se haga se deberia de hacer mediante macros maliciosas, 
este control permite hacer un "SHOW ME" o lo que es lo mismo abrir documentos de word y manipular 
las opciones de seguridad de este, lo cual puede hacer que o bien, tu curriculum vitae sea leido por
media red o bien, que en el peor caso, el malicioso administrador decida ejecutar una macro en tu
word, apartir de ahi, dependera de lo que esa macro haga...ponte en lo peor.

--------------------------------------------------------------------------------------------------
---------------[ 7. Otras cuestiones y Soluciones - referencias]----------------------------------
--------------------------------------------------------------------------------------------------

Es necesario acceder a una web para que esto funcione?
-------------------------------------------------------------------------------------------
	No, simplemente vale con que ejecutes codigo html que llame a este activeX, usa la 
imaginacion desde mail-web, archivos html etc...

	Otro metodo puede ser la ejecucion de este activeX en programas con una apariencia
mas..inofensiva como siempre recomendamos al sufrido usuario que no ejecute nada que no sepa 100% 
de que se trata.

	
Tienes el office 2000?
-------------------------------------------------------------------------------------------
Soluciona este problema bajando como siempre el correspondiente parche de microsoft
el cual te proveera de un flamante activeX sin ese error de bulto.

http://office.microsoft.com/downloads/2000/Uactlsec.aspx	


Como ver si tu ActiveX esta marcado como "safe for scripting"
----------------------------------------------------------------
 DOnde esta el ActiveX...y como se llama:
		En el directorio donde instalases el office 2000
               > El ocx se llama Ouactrl.ocx version 1.01.9
                (si instalaste el parche tendrias que tener el mismo nombre pero la version 2.o)


 Microsoft lo que ha echo es eliminar la propiedad show me en el activeX...sin comentarios...

		Para los que programeis, podreis ver esto facilmente con solo abrir un idioma visual
aadir el ocx y ver si tiene esta propiedad..simple..
	
		Para los que no programeis...tendreis que hacer un poco mas de rollo para ver
si esta propiedad esta activa...

	hacer lo siguiente:
	     Abrir el excell y copiar una formula de las que
	     vienen predeterminadas.
				
	     ir a buscar (search) y picar en Copy only formulas o copiar solo formulas
	     seguis los pasos de Copy only values, formulas, comments, or cell formats" Help topic
	     luego vais a PAste Area, si os sale una descripcion, malo, teneis el show me activado
	     se lo contrario no pasa nada, el parche ha funcionado.

mas informacion en ingles en:
http://support.microsoft.com/support/kb/articles/q262/7/67.asp?id=262767&sd=tech




---------------------------------------------------
-       CONTACTA CONMIGO O CON EL TEAM            -
---------------------------------------------------
- NICK:	    W3ndig0                               -
- CARGO:    Director de Disidents Espaa          -    
- MAIL:     w3ndig0disidents@yahoo.com	          -	
- TEAM:     disidents@yahoo.es                    -
---------------------------------------------------

                                                               Disidents Espaa  2001 2 edicion. 
-------------------------------------------------------------------------------------------------


                     @@-------               @@---------------  
		    @@----                  @@---------       @@@@@@@@@  
		   @@--     @@@@@--        @@-- @@@@@       @     @@  @@@@@@@@@@@@@@@@@@@@@@@@@@@@-------
              @@@@@@    @@ @@      @@ @@@@@@-  @@      @@@ @    @@  @@-----------------------------
             @@        @@ @@@@@   @@ @@---    @@@@@@   @@ @@   @@  @@@@@--------------
            @@        @@     @@  @@ @@ -     @@       @@ @@   @@      @@----------
             @@@@@@@ @@  @@@@@@ @@   @@@@@@@ @@@@@@@ @@  @@ @@	     @@--------
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@------

