В четверг секьюрити-фирма Secunia сообщила, что в Microsoft Office есть ошибка, которая позволяет атаковать системы со старыми версиями популярного комплекса деловых программ.
Secunia опубликовала предупреждение (http://secunia.com/advisories/12758/), согласно которому в Office 2000 (а возможно,
в Office XP) присутствует ошибка переполнения буфера, которая позволяет хакерам получить контроль над системой пользователя. Компания квалифицирует баг как “в высшей степени критический”.
Secunia утверждает, что уязвимость вызвана ошибкой в способе управления входными данными в Microsoft Word при анализе файлов документов. Ее можно использовать, подготовив специальный документ, так что пользователям рекомендуется до устранения ошибки открывать только надежные документы Word.
В Microsoft сказали, что проблема изучается, но пеняют первооткрывателю бага – которого Secunia называет просто HexView – за то, что тот не предупредил Microsoft, прежде чем обнародовать эту информацию. “На данный момент нам не известно ни о каких активных эксплойтах для указанной уязвимости или о пострадавших заказчиках, но мы активно изучаем поступающие сообщения”, – пишет в e-mail представитель Microsoft. Однако компания сожалеет о том, что ее не поставили в известность о найденной ошибке заранее.
“Microsoft обеспокоена тем, что это новое сообщение об уязвимости в Word было обнародовано без должной ответственности, что подвергает пользователей компьютеров риску, – пишет представитель. – Мы уверены, что общепризнанная практика сообщения об уязвимостях непосредственно поставщику наилучшим образом отвечает общим интересам, помогая гарантировать получение заказчиками высококачественных обновлений, не подвергаясь атакам злоумышленников до тех пор, пока не будет разработан патч”.
Некоторые специалисты по безопасности обвиняют Microsoft в медлительности при подготовке исправлений.
Microsoft говорит, что по завершении расследования она примет решение о том, нужно ли что-либо предпринимать и если нужно, то что именно. Возможные варианты: выпуск исправления в рамках регулярных ежемесячных патчей или внеплановый выпуск поправки, если уязвимость того требует.