Office XP dziurawy

Jeden z najlepszych specjalistów ds. zabezpieczeń, który znalazł poważne błędy w wiekszości produktów Microsoftu - Georgi Guninski - poinformował, iż znalazł dwie dziury w najnowszym pakiecie biurowym z rodziny Office. Jedna umożliwia zdalne przejęcie kontroli nad komputerem poprzez błąd w programie Outlook XP, druga - za pośrednictwem Excela.

Błąd w Outlooku pozwala, zdaniem Guninskiego na "zaszycie" w e-mailu aktywnych elementów (np. skryptu lub obiektu), które uaktywniają się dopiero w momencie odpowiadania lub przesyłania dalej feralnej wiadomości. Takim obiektem może być np. adres URL, z którym przeglądarka automatycznie połączy się w momencie przesłania dalej owego e-maila (lub w chwili wysłania odpowiedzi). Ten błąd w zabezpieczeniach może być szczególnie niebezpieczny, jeśli zostanie wykorzystany jednocześnie ze znaną już od dawna luką w przeglądarce internetowej Internet Explorer - polega ona na tym, iż ze strony WWW (np. wskazanej przez autora owej zmodyfikowanej wiadomości) może zostać automatycznie pobrany i uruchomiony dowolny program (np. wirus lub koń trojański).

Druga luka dotyczy aplikacji Excel. Wykorzystując jedną z funkcji arkusza w połączeniu z błędem wykrytym w Outlooku, hakerzy mogą umieścić dowolny plik w folderze Autostart systemu Windows.

Microsoft został już poinformowany o problemie. Do czasu przygotowania odpowiedniej "łatki" użytkownikom zalecono zrezygnowanie z edytowania e-maili przy pomocy programu Word (zdaniem przedstawicieli firmy niebezpieczeństwo występuje tylko jeśli do przeglądania i pisania wiadomości wykorzystywana jest ta aplikacja). Błąd w Excelu jest cały czas sprawdzany.

Linki:
- Georgi Guninski Security Research
- więcej o błędach w Office XP