По словам представителей крупнейшего производителя ПО в мире, злоумышленник, используя электронную почту и прислав пользователю особым образом скомпонованное письмо в формате HTML или заманив его на специальную веб-страницу, может с помощью предназначенных для работы с интернетом компонентов MS Office (OWC - Office Web Components) запускать программы, изменять данные и удалять их с жесткого диска, а также просматривать файлы и содержимое буфера обмена в пользовательской системе. Наиболее серьезная уязвимость связана с имеющейся в OWC функцией Host.

Microsoft представил патч, устраняющий три уязвимости веб-компонентов MS Office, а также сообщил о "дырах" в трех последних версиях веб-браузера Internet Explorer, которые позволяют злоумышленникам читать файлы пользователей интернета. Microsoft призывает пользователей защитить свои данные от возможного взлома, скачав необходимые программы-"заплатки" со своей страницы.

"Важно, чтобы пользователи получили патч, - отметил Расс Купер (Russ Cooper), глава службы защиты информации компании TruSecure, специализирующейся на компьютерной безопасности. - Как обычно происходит в таких ситуациях, пройдет еще 6-9 месяцев, пока мы увидим массовые попытки воспользоваться этими "лазейками". По его словам, так как MS Office насчитывает, по крайней мере, 100 млн. пользователей, риск повсеместного возникновения хакерских атак очень велик.

Уязвимость в системах защиты программных продуктов - давняя головная боль софтверного гиганта. Устав от обвинений в халатном отношении к вопросам защиты разрабатываемых программ, Microsoft в этом году запустил новую инициативу, направленную на повышение безопасности всего предлагаемого ПО. За этот год Microsoft потратил на данную кампанию $100 млн. и выпустил около 30 предупреждений о "дырах" в своих программах.

На прошлой неделе специалисты по компьютерной безопасности сообщили о серьезной уязвимости веб-браузера Internet Explorer и входящей в него программы шифрования данных, благодаря чему номера кредитных карт и другая персональная информация пользователей интернета могли попасть в руки злоумышленников.

Программы, входящие в пакет MS Office и содержащие "дыры", включают MS Office 2000 и Office XP, а также в BackOffice Server 2000, BizTalk Server 2000 и 2002, Commerce Server 2000 и Commerce Server 2002, Internet Security and Acceleration Server 2000, Money 2002 и 2003, Project 2002, Project Server 2002 и Small Business Server 2000. Компания уже выпустила соответствующую заплатку , которая подходит для всех вышеуказанных продуктов, кроме Project и Project Server. Пользователям Office XP рекомендуется вместо универсального патча установить недавно выпущенный Service Pack 2.

Кроме этого, 22 августа Microsoft выпустила кумулятивный патч для браузера Internet Explorer версий 5.01, 5.5 и 6. Он исправляет сразу шесть уязвимостей , включая дыру в реализации протокола gopher, ошибку переполнения буфера в модуле ActiveX, ответственном за форматирование текста, возможность чтения XML-файлов через функцию перенаправления (redirect) и другие.