Ежемесячное обновление безопасности Microsoft, выпущенное на этой неделе, обошло стороной критическую уязвимость в Word 2000, хотя ее активно используют для атак. Microsoft выпускает обновления раз в месяц, что означает возможность эксплуатации «дыры» хакерами до следующего обновления — 10 октября. 

По мнению Амола Сарвата, менеджера по исследованиям аналитической компании Qualys, специалисты Microsoft просто не успели выпустить соответствующую «заплатку» — у них не хватило на это времени. Microsoft предупредила на прошлой неделе о том, что злоумышленники используют ранее не известную уязвимость в Word 2000 для атак. Способ атаки — присылка специально сконструированного вложения в формате Word 2000. В Microsoft заявили о том, что работают над «заплаткой», но 6 сентября в бюллетене по безопасности не было дано точной даты ее выпуска.
«Дыра» в Word 2000 похожа на ту критическую уязвимость, которую Microsoft устранила во вторник — в Microsoft Publisher, входящем в Office 2000, XP и 2003. Закрытая уязвимость описана в бюллетене MS06–054. Специально созданный файл Publisher позволяет захватить полный контроль над системой. Ошибка кроется в некорректном разборе формата файла.



Оставить мнение