В Office обнаружена еще одна проблема безопасности

Особенность механизма управления файлами Macromedia Flash в приложениях Office ставит заказчиков Microsoft под угрозу кибератак, предупреждают эксперты.

Файлы Flash, встроенные в документы Office, могут запускаться и исполнять программы без всякого предупреждения, говорится в сообщении, разосланном в четверг заказчикам Symantec. Это уже третья проблема безопасности, касающаяся пользователей Microsoft Office, обнаруженная за последнюю неделю.

«В случае успешной атаки злоумышленники могут получить доступ к конфиденциальной информации и исполнять на уязвимом компьютере вредоносные программы», — предупреждает Symantec клиентов своей службы безопасности DeepSight. Уязвимость обнаружил исследователь Дебасис Моанти (Debasis Mohanty).

Проблема связана с возможностью загружать элементы ActiveX в документы Office и является не уязвимостью, а функцией Office, пояснил представитель Microsoft. «Такое поведение определено конструкцией и само по себе не представляет опасности для заказчиков», — сказал он. Элементы ActiveX это мелкие программы, которые обычно используются для повышения степени интерактивности веб-сайтов.

Однако Microsoft признала, что эта функция может применяться злоумышленниками для автоматической загрузки элемента ActiveX в систему пользователя через документ Office. Пока Microsoft не известны элементы ActiveX, которые позволяли бы взламывать системы таким способом.

«Microsoft продолжает изучать сообщения, чтобы в случае необходимости снабдить заказчиков дополнительной информацией», — сказал представитель Microsoft. Если обнаружатся какие-то вредоносные элементы ActiveX, их исполнение в недавних версиях Office можно предотвратить, установив для них так называемый killbit.

Проблема ActiveX — уже третья проблема безопасности Office, о которой стало известно на этой неделе. Во вторник Microsoft подтвердила, что ошибка в компоненте Windows, называемом hlink.dll, может использоваться для создания вредоносного файла Excel. А в конце недели Microsoft сообщила, что обнаруженная в Excel ошибка использовалась для организации по крайней мере одной кибератаки.

Чтобы воспользоваться любым из вновь обнаруженных пробелов в защите, злоумышленник должен создать вредоносный файл и выложить его на веб-сайт, доставить по e-mail или каким-нибудь иным способом передать его своей жертве. Успеха можно добиться только в том случае, если файл будет открыт на уязвимом ПК.

Новые проблемы посыпались сразу после «вторника патчей» — на прошлой неделе Microsoft распространила очередную серию из 12 секьюрити-обновлений, исправляющих 21 уязвимость в различных продуктах, включая приложения Office. Компания сообщила, что она работает над патчем для первого из вновь обнаруженных багов Excel.

Предыдущие публикации:

2006-06-15

Вредоносный код наступает на пятки патчам Microsoft

В продолжение темы:

2006-07-06		«Трюк» с ярлыками Microsoft — легитимная функция
2006-07-26		Windows-ПК угрожают эксплойты
2006-08-15		Безопасность OpenOffice поставлена под сомнение

Обсуждение и комментарии

	Ender 23 Jun 2006 9:31 PM
На мой взгляд любой активный контент из интернета (в т.ч. Java, ActiveX, еще какой-то HTML application придумали) - чистой воды идиотизм. Не нужно быть гением чтобы понять что это обязательно будет использовано во вред. Flash - вообще вредитель N1.

	Yuri 23 Jun 2006 10:12 PM
Пока он именно "из интернета" - это еще ничего, т.к. тогда на него действуют секъюрити-ограничения. В частнсти, у флэша (как и у джавы) в этом плане все весьма пристойно. Здесь же, как я понимаю, проблема как раз состоит в том, что оффисные приложения запускают флэшовые компоненты не в контексте интернет-приложения (где они вполне безопасны), а в контексте локального апликейшна, где у них ограничений уже во много раз меньше. В общем, это опять типичная проблема майкрософтовских программ, которые "без спроса в рот тянут, что попало", т.е. позволяют встраивать в казалось бы вполне безобидные документы самые разнообразные исполняемые коды, и автоматически их запускают.

	M&M's 24 Jun 2006 9:05 PM
Интересно, это закончится когда-нибудь? Или латание дыр - хроническая болезнь информационных технологий?

	Максим 24 Jun 2006 10:38 PM
2М&M's: Безошибочных программ не бывает, так что это неизбежно.

	iZEN - izenmail.ru 25 Jun 2006 5:48 PM
23 июня, 2006, 21:31 - Ender, причём здесь Java-апплеты? В отличие от ActiveX, Flash и JavaScript, апплеты не могут нести деструктивных действий, если загружаются в документ из Сети. Максимум на чтоони способны — преобразовать текущий документ, но не записать его на диск или выполнить какой-либо код (нативный). ActiveX и Java-апплеты — две совершенно разные технологии. Но почему-то многие аналитики и антивирусные компании ставят их на одну полку по опасности причинения ущерба. Это не так! ActiveX исполняет "родной" для операционной системы код и гораздо большая вероятность через него получить переполнение буфера и выполнить вредоносный код, чем сделать это же из Java-апплета. Система безопасности JavaVM очень и очень продуманна, в отличие от дырявых "песочниц" Flash и IE.

	Ender 26 Jun 2006 6:56 PM
2iZEN: Лучший способ не поиметь проблем с какой-то потенциально опасной технологией, не использовать её. Если для отображения информации страницы достаточно статического HTML, то так оно и должно быть.

← май 2006

19 20 21 22 23 25 26 27 28

июль 2006 →