Office 2007: kiderült az első biztonsági hiba
Néhány héttel az Office 2007 szoftvercsomag megjelenése után az egyik biztonsági cég már fel is fedezete a termék első, kritikus veszélyességű sebezhetőségét.
Az eEye Digital Security egy figyelemfelhívó közleményben tudatta, hogy az Office 2007 irodai szoftvercsomag vizsgálata során egy viszonylag könnyen kihasználható, kritikus veszélyességű biztonsági hibára bukkant. A sebezhetőség a Publisher 2007 alkalmazást érinti, és kártékony kódok jogosulatlan távoli végrehajtását teszi lehetővé. Az eEye szakemberei egyelőre csak annyit árultak el a sérülékenységgel kapcsolatban, hogy az speciálisan szerkesztett Publisher fájlok révén használható ki, és ezek megnyitásakor azonnal sebezhetővé válnak az érintett rendszerek.
Ross Brown, az eEye egyik vezetője elmondta, hogy meglepődtek, amikor rábukkantak a hibára, ugyanis nem gondolták, hogy az Office 2007 megjelenése után ilyen gyorsan kiderül egy ilyen biztonsági rés. A szakember szerint egy teljesen átlagos kód auditálást végeztek, amelynek során derült fény a sebezhetőségre. Brown megjegyezte, hogy a Microsoft nem végzet jó munkát a kód átvizsgálása során, vagy kevés embert foglalkoztatott ezzel a feladattal.
A biztonsági hiba kihasználásához szükséges kód jelenleg nem elérhető, de az eEye szakértői szerint a sebezhetőség így is felhívja a figyelmet a támadások lehetőségére. A támadók pedig az Office 2007 egyre szélesebb körű terjedésével mind inkább igyekeznek majd kihasználni a sérülékenységek nyújtotta lehetőségeket.
A Microsoft egyelőre csak annyit közölt, hogy már vizsgálják az eEye által felfedezett sebezhetőséget, és meg fogják tenni a szükséges intézkedéseket.
Biztonságportál 2007. 02. 26.