Специалисты компании eEye Digital Security сегодня объявили об обнаружении
критической уязвимости в новейшем офисном пакете Microsoft Office 2007.
По словам специалистов, уязвимость найдена в программном обеспечении Microsoft
Office Publisher 2007, она связана уязвимым форматом файлов, в которых сохраняется
проекты Publisher. Уязвимый формат позволяет выполнить произвольный код
на компьютере-жертве. "Мы были удивлены тем, что удалось так быстро обнаружить
столь серьезную уязвимость в новом ПО, которое разрабатывалось Microsoft
более пяти лет и позиционировалось как самое защищенное офисное решение",
- говорит Росс Браун, руководитель eEye. По словам Брауна механизм потенциальной
атаки довольно прост. Атакующий создает злонамеренный файл, содержащий те
или иные инструкции и сохраняет его в формате файлов Publisher 2007, после
этого файл различными способами оказывается на компьютере жертвы и запускается
в среде Publisher 2007, в итоге ПО выполняет произвольный код в системе.
В корпорации подтвердили наличие бага и заявили, что сейчас работают над
его устранением. По словам представителей eEye, на сегодня ими в интернете
не было обнаружено каких-либо готовых эксплоитов для данной уязвимости.