Microsoft er langt fra begejstret over, at nye sikkerhedshuller i tekstbehandlingsprogrammet Word er blevet udbasuneret på internettet, før softwarekæmpen selv fik besked.
Det er normal kutyme først at advare leverandøren, når man finder et sikkerhedshul.
På den måde får leverandøren en chance for at tage hånd om problemet og udsende en opdatering.
Det er ikke sket i dette tilfælde, hvor nyheden om sårbarhederne i stedet røg direkte ud på internettet.
- Det er foruroligende, at denne nyhed om sårbarheder i Word ikke blev afsløret på ansvarlig vis, og derfor potentielt bragte pc-brugere i klemme, lyder reaktionen fra en talsmand for Microsoft ifølge nyhedstjenesten Cnet.
Anonym afsender
Sårbarhederne blev offentliggjort på e-postlisten Full Disclosure uden Microsoft i forvejen var underrettet.
I den originale e-mail til Full Disclosure-listen skriver den anonyme afsender direkte, at softwareleverandører ikke vil blive underrettet om sårbarheder, medmindre der på forhånd er indgået en aftale.
Afsenderen er blot angivet ved en e-mailadresse på domænet hexview.com, som er registreret til en person, der kalder sig Max Max uden nogen nærmere adresse angivet.
Full Disclosure er en åben postliste, som følges af mange sikkerhedseksperter og interesserede over hele verden.
Findes i ældre versioner
Sårbarhederne i Word findes i ikke i den nyeste version fra Office 2003. De er rapporteret i Office XP og Office 2000 og de selvstændige Word-versioner, der hører til disse programpakker.
Det danske sikkerhedsfirma Secunia betegner sikkerhedshullerne som kritiske, i det et af dem potentielt kan udnyttes til at give systemadgang.
Brugere af Microsofts webbrowser Internet Explorer bør ifølge Secunia ikke åbne Word-dokumenter fra internettet, hvis de ikke ved, at de kan stole på afsenderen.
Internet Explorer kan åben Word-dokumenter direkte i browservinduet, og det vil være den mest sandsynlige angrebsform, hvis nogen vil forsøge at udnytte sårbarhederne.
Indtil videre er der ikke rapporteret om nogen metoder til at misbruge sikkerhedshullerne.
Relevante link
