MS Office: jeden stary patch zabezpiecza przed większością ataków

Okazuje się, że przed zdecydowaną większością exploitów wykorzystywanych obecnie przez przestępców do atakowania aplikacji z rodziny MS Office można się zabezpieczyć instalując pewną poprawkę, udostępnioną przez Microsoft w połowie 2006 r. Niestety, wielu użytkowników wciąż jej nie zainstalowało - jak się okazuje, mało kto w ogóle łata MS Office. Microsoft mógłby rozwiązać problem wprowadzając ową poprawkę do Windows Update ale na razie z jakiegoś powodu firma nie zdecydowała się na taki krok.

Z najnowszej edycji publikowanego co pół roku raportu na temat bezpieczeństwa produktów Microsoftu dowiadujemy się, że 71% ataków na MS Office, przeprowadzonych w pierwszej połowie 2009 r. wykorzystywało pewien stary błąd w edytorze tekstu MS Word. Błąd ten Microsoft załatał już w czerwcu 2006 r. - poprawką opisaną w biuletynie MS06-027.

Druga najczęściej wykorzystywana luka miała tylko 13% "udziału w rynku" - chodzi tu o błąd w Excelu, usunięty w marcu 2008 r. Przedstawiciele koncernu podkreślają, że dla ogólnego bezpieczeństwa komputera łatanie MS Office jest równie ważne, jak łatanie Windows - problem w tym, że mało kto o tym pamięta. "Większość ataków, odnotowanych przez nas w pierwszej połowie bieżącego roku - 55,5% - skierowanych było przeciwko pakietom Office, których nie łatano od kilku lat. W większości przypadków ofiarami byli użytkownicy Office 2003, którzy od momentu zainstalowania aplikacji w latach 2003 i 2004 nie zainstalowali w nich ani jednej poprawki czy Service Packa" - tłumaczą autorzy raportu.

Z informacji przedstawionych przez koncern wynika, że Office jest łatany kilkakrotnie rzadziej niż Windows - ze statystyk wynika, że przeciętny użytkownik ostatni raz zainstalował jaką poprawkę dla MS Office 5,6 roku temu (w przypadku Windows - 1,2). "Użytkownicy wydają się nie rozumieć, że samo łatanie Windows nie wystarcza - jeśli ktoś zapomni o MS Office, to zainstalowanie wszystkich możliwych poprawek dla systemu operacyjnego może nie uchronić go przed atakiem" - czytamy w raporcie.

Z Microsoftem w pełni zgadza się Wolfgang Kandek, szef działu technicznego firmy Qualys: "Z naszych statystyk wynika to samo. Ludzie po prostu nie łatają Office'a - a nawet jeśli czasami to robią, to i tak zdecydowanie rzadziej i później niż Windows. W firmach to jest poważny problem - administratorzy zapominają o MS Office i lekceważą związane z tym środowiskiem problemy z zabezpieczeniami. Robią tylko to, czego się od nich wymaga - tzn. łatają na czas Windows - i nic poza tym" - tłumaczy Kandek.

Office'a można uaktualnić na dwa sposoby - najbardziej oczywistym jest instalowanie na bieżąco pojawiający się co miesiąc łatek. Ale Microsoft regularnie publikuje też uaktualnienia zbiorcze - Service Packi. Ostatni dodatek dla MS Office 2003 - SP3 - udostępniony został we wrześniu 2008 r. Zawierał poprawki dla ok. 450 różnych błędów w oprogramowaniu koncernu z Redmond.

Jedną z przyczyn problemów z aktualizacją wydaje się fakt, że Microsoft oferuje obecnie klientom indywidualnym dwa różne mechanizmy uaktualniania oprogramowania - niezależnie od siebie działają Windows Update (oferujący poprawki wyłącznie dla Windows) oraz Microsoft Update (dostarczający łatki dla wszystkich produktów koncernu). "Nie bardzo rozumiem, czemu oni to robią w ten sposób. Czy najlepszym rozwiązaniem nie byłoby po prostu zlikwidowanie Windows Update i zrobienie z Microsoft Update domyślnego narzędzia aktualizacyjnego, które łatałoby wszystkie dziurawe produkty? - zastanawia się przedstawiciel Qualys. (Dodajmy, że dla użytkowników korporacyjnych Microsoft ma system zarządzania poprawkami o nazwie Windows Server Update Services - WSUS).

Więcej informacji można znaleźć na stronie Microsoftu (dostępna jest tam do pobrania najnowsza edycja raportu o bezpieczeństwie produktów koncernu).


Zobacz również