Microsoft предупреждает об уязвимости в Office Web Components

Обнаружена новая уязвимость в Office Web Components (OWC) в старых версиях Microsoft Office. Office 2007 в число уязвимых продуктов не входит. Microsoft подробно изложила суть уязвимости и поведала о пяти способах, как ее избежать.

В конце прошлой недели Microsoft опубликовала предварительное уведомление под номером 9737472 с целью предупредить пользователей о наличии уязвимости в Microsoft Office Web Components (OWC), которая была сообщена компании в частном порядке и которую активно используют хакеры.

Уязвимость позволяет получить такие же права, как у локального пользователя. И что еще хуже, при использовании Internet Explorer выполнение кода можно провести удаленно и без участия пользователя. В список продуктов Office, подверженных уязвимости, попали Office XP, Office 2003, Office XP Web Components, Office 2003 Web Components, Internet Security and Acceleration Server 2004, Internet Security and Acceleration Server 2006 и Office Small Business Accounting 2006. Представители компании подтвердили, что на текущий момент ведутся работы по созданию обновления безопасности, призванного устранить уязвимость.

Ну а пока обновление недоступно, пользователям, использующим устаревшие версии пакета, придется довольствоваться временными мерами. Рекомендованные Microsoft меры не позволят библиотеке OWC запуститься в Internet Explorer, но потребуют вмешательства в реестр. Благо, Microsoft предусмотрела решение "Fix it for me", размещенное в статье KB973472 и позволяющее автоматически внести изменения. Microsoft заявляет, что блокировка элемента управления от загрузки в IE никоим образом не скажется на работе пакета.

В дополнение к существующим обходным путям и тому факту, что последние версии Office не подвержены уязвимости, Microsoft предусмотрела еще четыре временных меры. Во-первых, у хакеров нет способа заставить пользователя посетить веб-сайты, на которых размещается специальным образом созданный контент, который может помочь в реализации уязвимости. Во-вторых, Internet Explorer в Windows Server 2003 (и 2008) по умолчанию выполняется в режиме конфигурации расширенной безопасности, весьма ограниченном режиме, минимизирующем вероятность загрузки и запуска специальным образом подготовленного контента на сервере. В-третьих, все поддерживаемые версии Outlook и Outlook Express по умолчанию открывают HTML-сообщения в ограниченной зоне, блокируя использование Active Scripting и ActiveX при чтении таких сообщений. И, наконец, поскольку атакующий может получить права локального пользователя, учетные записи с ограниченными правами будут менее подвержены риску, нежели учетные записи с привилегиями администратора.


Источник: http://arstechnica.com/microsoft
Перевод: deeper2k