Újabb biztonsági probléma az Office-szal
Milkovits Gábor, 2006. június 24. 17:08
A múlt heti és a hét eleji Excel biztonsági rések után most egy a teljes Office programcsomagot érintő hiba került nyilvánosságra, amely veszélyes támadásoknak nyithat utat.
A Symantec szoftverbiztonsági cég figyelmeztetése szerint a sebezhetőség utat nyithat olyan támadásoknak, amelyek az Office-nak azt a tulajdonságát használják ki, hogy lehetővé teszi ActiveX vezérlőknek a dokumentumokba való beépítését, illetve támogatja az ezeken keresztül érkező kódok végrehajtását. Az ActiveX flash fájlok a Symantec szerint minden előzetes jel nélkül képesek víruskódok lefuttatására egy fertőzött Office fájlon keresztül, így a sebezhetőség igen veszélyes támadásoknak is utat nyithat.
A Microsoft részéről hivatalos közleményben úgy értékelték a hírt, hogy az ActiveX vezérlők betöltésének képessége nem biztonsági rés, hanem éppen egy fontos előnyös tulajdonsága az Office produktív programcsomagnak. A szoftverkonszern részéről ugyanakkor elismerték, hogy ezzel az Office elvben lehetővé teszi ActiveX vezérlők eljuttatását egy adott számítógépre valamilyen, mondjuk Word vagy Excel dokumentum segítségével, eddig azonban nem találkoztak egyetlen rosszindulatú céllal létrehozott, vírussal fertőzött ActiveX alkalmazással sem.
A mostani a harmadik Office-t érintő biztonsági rés a Microsoft múlt héten kiadott frissítőcsomagja óta, ami meglehetősen aggasztó. Szerencsére mindhárom rés kihasználásához a felhasználó aktív közreműködése, jelen esetben a fertőzött fájl megnyitása szükséges, ugyanakkor az első feltárt Excel sebezhetőségre utazó első támadást már végre is hajtották. A Microsoft ehhez már dolgozik a megfelelő javítófolton, amely így valószínűleg soron kívül lesz majd kiadva, a másik két Office hiba orvoslásáról azonban egyelőre nincs hivatalos információ.