Kritikus kategóriába sorolt Office-sebezhetőséget hozott nyilvánosságra a Microsoft
A Microsoft szerdán öt biztonsági rést hozott nyilvánosságra, amelyek az Office programcsomag legutóbbi verzióit érintik. A sebezhetőségek közül az egyik kritikus besorolást kapott. Ezt a biztonsági rést kihasználva illetéktelenek fájlokat nyithatnak meg vagy törölhetnek a számítógépről.
A Microsoft szerdán öt biztonsági rést hozott nyilvánosságra, amelyek az Office programcsomag legutóbbi verzióit érintik. A sebezhetőségek közül az egyik "kritikus" besorolást kapott. Ezt a biztonsági rést kihasználva illetéktelenek fájlokat nyithatnak meg vagy törölhetnek a számítógépről.
A kritikus besorolást kapott biztonsági rés a Visual Basic for Applications (VBA) szoftverben található. Rosszindulatú felhasználók készíthetnek olyan dokumentumot, amelyben puffertúlcsrodulást okozó VBA szkript található, ennek megnyitásakor gyakorlatilag átvehetik az irányítást a számítógép felett.
A sebezhetőség a VBA szkripteket támogató Office-változatokat -- XP, 2000, 97 -- érinti. Szintén fenyegetésnek van kitéve a Project XP és 2000, Visio XP és 2000, valamint a Works Suite 2002, 2001 és 2000 programcsomag, valamint több üzleti szoftver, például a Great Plains 7.5 változata is.
A rényleges támadáshoz a felhasználónak meg kell nyitnia egy olyan Office dokumentumot, amelyben a puffertúlcsordulást okozó VBA szkript található. A Microsoft arra figyelmeztet, hogy sok Outlook-felhasználó a Wordöt használja HTML kódok szerkesztéséhez, ebben az esetben egy rosszindulatú VBA szkriptet tartalmazó levél megnyitása is "kinyithatja a kiskaput".
A vállalat arra kéri a felhasználókat, hogy legyenek nagyon körültekintőek a levelek és ismeretlen dokumentumok megnyitásával és a lehető leghamarabb telepítsék fel a megfelelő javítócsomagokat, amelyek a Microsoft Office Update weboldaláról tölthetők le. "Amennyiben ismeretlen címről csatolt fájlt kap, vagy ismerőstől érkezik olyan fájl, amit nem kért, legyen nagyon óvatos" -- mondta Simon Marks, a Microsoft Office termékmenedzsere.
A vállalat ezen felül még négy Office-sebezhetőséget hozott nyilvánosságra tegnap és természetesen közzétette a javítócsomagokat is. A redmondi szoftvergyártó 2002 februárjában jelentette be "Trustworthy Computing" kezdeményezését, amelynek keretében kiemelt figyelmet fordít a biztonsági sérülékenységekre. A vállalat az idei évben összesen 38 biztonsági résre hívta fel a figyelmet.