MS Office jak rzeszoto - 12 dziur do załatania

Błędy w Outlooku są o tyle nietypowe (w porównaniu z innymi lukami załatanymi w tym miesiącu), że nie są związane z formatem plików. A to oznacza, że atak z ich wykorzystaniem może polegać na wysłaniu do użytkownika e-maila zawierającego odpowiednio spreparowane łącze ze znacznikiem "mailto" - kliknięcie na nie może spowodować np. otwarcie złośliwej strony WWW. W przypadku innych błędów niezbędne jest skłonienie użytkownika do uruchomienia załączonego do wiadomości pliku.

Storms zwraca też uwagę, że przed zagrożeniem ze strony aż 10 ze wszystkich ujawnionych właśnie błędów można się stosunkowo łatwo zabezpieczyć - wystarczy zalogować się w Windows na koncie o przywilejach niższych niż administrator (nie dotyczy to jedynie luk w Outlooku). "To chyba pierwsza w historii poprawek Microsoftu sytuacja, w której tak łatwo można zabezpieczyć się przed niebezpieczeństwem" - mówi przedstawiciel nCircle.

OWB też dziurawe

Dwa ostatnie biuletyny - MS08-016 oraz MS08-017 - usuwają po dwa błędy. W pierwszym przypadku są to luki w MS Office, związane z parsowaniem plików oraz obsługą pamięci, w drugim problem dotyczy komponentów OWB (Office Web Components).

MS Office jak rzeszoto - 12 dziur do załatania

Szczegółowe informacje o lukach i poprawkach znaleźć można na stronie Microsoftu

Amol Sarwate, specjalista z firmy Qualys, zwraca uwagę, że najnowsze luki w MS Office są wręcz idealną ilustracją obserwowanego już od kilku miesięcy trendu. Ze statystyk wynika bowiem, że przestępcy coraz rzadziej atakują systemy operacyjne (to efekt m.in. intensywnej pracy Microsoftu nad zabezpieczeniem Windows), a coraz częściej - szukają luk w zainstalowanych w nich aplikacjach. Co oczywiste, celem takich ataków są zwykle najpopularniejsze programy - nic więc dziwnego, że nowe luki zostały znalezione właśnie w MS Office.

Więcej informacji o udostępnionym właśnie pakiecie poprawek dla MS Office znaleźć można na stronie Microsoftu. Rekomendowanym przez koncern sposobem pobrania uaktualnień jest skorzystanie z mechanizmu Microsoft Update.