Niezałatana luka odkryta w Microsoft Office

Microsoft bada raport dotyczący luki, która przy pomocy oprogramowania Office lub Access mogła narażać komputery na ataki. Luka ta jest kolejną, po ośmiu załatanych przez Microsoft we wtorek. Zgodnie z informacją, dostarczoną tego samego dnia przez firmę Secunia, luka znajduje się w komponencie engine’u baz danych Jet. Secunia twierdzi, że luka umożliwia intruzom wprowadzenie złośliwego kodu na narażony komputer.

Microsoft nie potwierdził istnienia luki, która prawdopodobnie dotyczy oprogramowania Microsoft Office i Microsoft Access.

Secunia ocenia problem, jako „wysoce niebezpieczny”, ponieważ kod dla luki był udostępniony na publicznej liście mailingowej.

„Luka powstała w wyniku błędu obsługi pamięci podczas… przetwarzania plików baz danych” wynika z raportu firmy Secunia. „Może to być wykorzystane do wprowadzenia dowolnego kodu. Wystarczy, że narażony na atak użytkownik otworzy specjalnie przygotowany plik ‚.mdb’ w programie Microsoft Access”.

Przedstawiciel Microsoftu powiedział we czwartek, że firma nie zna przypadków ataków na systemy klientów, przy użyciu niezałatanej luki.

„Zdajemy sobie sprawę, że ktoś wypuścił kod do luki” oświadczył przedstawiciel Microsoftu dodając, że firma podejmie odpowiednie środki jak tylko zakończy dochodzenie w tej sprawie.

Pierwszy alarm dotyczący luki pochodzi od HexView – firmy zajmującej się badaniem zabezpieczeń, twierdzi Secunia.

Microsoft potępił odkrywców luki za jej upublicznienie. Według firmy lukę należało poufnie zgłosić producentowi oprogramowania, tak, żeby łata była gotowa w momencie ujawnienia luki. Podtrzymuje to trwającą debatę dotyczącą sposobu postępowania badaczy podobnych słabości.

„Szkoda, że odkrywca zdecydował się na upublicznienie” – powiedział przedstawiciel Microsoftu.

HexView we własnym oświadczeniu stwierdził, że powiadomił Microsoft o luce 30 marca, ale nie otrzymał żadnej odpowiedzi.

Przedstawiciel Microsoftu zaprzeczył, jakoby firma otrzymała jakiekolwiek informacje od HexView, przed upublicznieniem luki.

Zawiadomienie o problemie pojawiło się w tym samym dniu, w którym Microsoft wypuścił łaty dla ośmiu innych luk – niektórych krytycznych, a niektórych ujawnionych po raz pierwszy w comiesięcznym biuletynie Microsoftu, dotyczącym zabezpieczeń.

Źródło: news.com
http://secunia.com