© Дэвид Бекер (David Becker), CNET News.com
Microsoft предупредила о нескольких уязвимостях, включая «критический» пробел в защите некоторых приложений Office
В среду Microsoft опубликовала целый ряд предупреждений об опасности, в том числе сообщение о «критической» ошибке, влияющей на многие приложения Office. Наиболее серьезный баг обнаружен в программе Visual Basic for Applications (VBA) — он позволяет злоумышленнику получить контроль над уязвимым ПК. VBA применяется для разработки приложений, связанных с другими продуктами Microsoft.
Как сказано в секьюрити-бюллетене Microsoft, при помощи VBA злоумышленник может создать документ, вызывающий переполнение буфера, а затем исполнение другой программы. Баг влияет на последние версии приложений Office, поддерживающие скрипты VBA, включая версии 2002, 2000 и 97 программ Access, Excel, PowerPoint и Word. Он может задействоваться также в Project 2002 и 2000, Visio 2002 и 2000 и в Works Suite 2002, 2001 и 2000. Риску подвержены и несколько приложений, продаваемых под маркой Microsoft Business Solutions, включая версию 7.5 бухгалтерского ПО Great Plains.
В большинстве случаев, чтобы подвергнуться атаке, пользователь должен принять и открыть подготовленный злоумышленником документ. Однако, если клиент e-mail Microsoft Outlook настроен на использование Word в качестве редактора по умолчанию кода HTML, можно нарваться на неприятности, просто ответив на сообщение с вложенным злонамеренным документом или переадресовав его.
Представители Microsoft призывают заказчиков установить соответствующие поправки — как указано в секьюрити-бюллетене и на сайте Office Update — и использовать правильные процедуры обращения с электронной почтой. «Если вы получили документ от неизвестного, что-то такое, чего вы не ждали, к этому нужно относиться чрезвычайно осторожно», — предупреждает продакт-менеджер Microsoft по Office Саймон Маркс.
С приложениями Office связано и несколько других предупреждений. Ошибка в последних версиях Word позволяет хакерам автоматически исполнять макросы. Согласно секьюрити-бюллетеню, эта уязвимость, оцениваемая как «важная», требует открытия злонамеренного документа. Пользователей Word 2002, 2000, 98 или 97, а также Works Suite 2003, 2002 или 2001 призывают срочно установить поправку.
Еще одна уязвимость связана с возможным переполнением буфера при конвертации документов Office из форматов, связанных с Corel WordPerfect. Эта ошибка, оцениваемая как «важная», проявляется в последних версиях Office, FrontPage, Publisher и Works Suite. Как сказано в бюллетене, она позволяет злоумышленнику выполнять на компьютере жертвы произвольный код.
Другая уязвимость Office, связанная с переполнением буфера и оцениваемая как «средняя», тоже позволяет злоумышленнику выполнять на ПК произвольный код, если пользователь открыл злонамеренный документ при помощи инструмента Snapshot Viewer, входящего в приложение Microsoft Access. Баг проявляется в Access 2002, 2000 и 97 и лечится поправкой.
Последняя ошибка, опасность которой считается «низкой», связана с сетевым компонентом NetBIOS (Network Basic Input/Output System), включенным в последние версии операционной системы Windows. При определенных условиях ответ на сетевой запрос может содержать произвольные данные из памяти ПК, что грозит раскрытием конфиденциальной информации. Согласно бюллетеню, этот баг использует ресурсы ПК, обычно заблокированные программой Internet Connection Firewall, включенной в последние версии Windows.
Microsoft все больше критикуют за частые предупреждения об опасности, в то время как софтверный гигант при помощи инициативы Trustworthy Computing пытается уверить заказчиков в надежности своего ПО.
