Artikel top billede

Microsoft kan ikke rette Office XP-fejl

En fejl, der gør Office XP-brugere sårbare over for angreb, kan ikke rettes, med mindre hele platformen opgraderes - og det vil Microsoft ikke.

Computerworld News Service: For anden gang på ni måneder meddeler Microsoft, at selskabet ikke vil lappe en sårbarhed i et ældre produkt, fordi det "ikke kan lade sig gøre" at skabe en løsning på problemet.

Udeladelsen gør XP-brugere sårbare over for angreb, medmindre de selv tager initiativ til at få løst problemet.

Office XP, som fandt frem til hylderne i marts 2001, er stadig på listen over Microsofts understøttede pakker - og brugerne vil blive ved med at modtage sikkerhedsopdateringer indtil midten af juli 2011.

Men tirsdag fortalte Microsoft, at en fejl i COM (component object model)-valideringen på det aldrende produkt ikke kunne fikses.

Beslutningen blev meddelt i forbindelse med de 10 sikkerhedsopdateringer, som Microsoft har udsendt i denne uge, og som har rettet hele 34 sårbarheder.

"Arkitekturen til understøttelse af den løsning, der kunne fikse valideringen, findes ikke i Microsoft Office XP, og det umuliggør udsendelsen af en løsning til produktet Microsoft Office XP, der kan tage hånd om sårbarheden," skriver Microsoft i en sikkerhedsbulletinen MS10-036.

"Det ville kræve, at vi lavede helt om i en meget stor del af Microsoft Office XP-produkterne, og ikke bare i de dele, der er påvirkede af fejlen."

Selv hvis det lykkedes at genopbygge Office XP, så fortæller virksomheden, at indsatsen ville resultere i "introduktionen af inkompatibiliteter med andre applikationer, og at der i det hele taget ikke ville være nogen garanti for, at produkterne ville blive ved med at virke, som de skal."

"Dette er endnu et eksempel på, hvordan gammel software lider under alderen. Den inbyrdes afhængighed af .dll filerne gør det nærmest umuligt at patche uden en generel opgradering af hele platformen," siger Amol Sarwate, der er manager for Qualys sårbarhedsindsats.

I stedet for en egentlig løsning opfordrer Microsoft brugerne til at downloade og køre et automatiseret værktøj fra 'Fit it'-biblioteket.

Microsoft fortæller, at værktøjet giver "en tilsvarende beskyttelse mod sårbarheden" sammenlignet med den løsning, som brugerne af Office 2003 og Office 2007 er blevet tilbudt.

"Microsoft har lavet en nødløsning til beskyttelse af Office XP," siger Richie Lai, der er leder af den afdeling i Quayly, der undersøger sårbarheder.

"Det fungerer, men det retter ikke op på selve den sårbare kode," tilføjer han.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere