[medwed]

Эксперты по информационной безопасности компании eEye Digital Security обнаружили первую уязвимость в пакете Microsoft Office 2007, вышедшем официально менее месяца назад. Уязвимость оказалась весьма опасной - специалисты оценили ее как критическую.
Уязвимость в Microsoft Office Publisher 2007, обнаруженная eEye, позволяет удаленно выполнить произвольный код на целевой системе. Атакующий может изготовить вредоносный файл нового формата, поддерживаемого Office Publisher. При его открытии система инфицируется, и становится возможным исполнение в ней произвольного кода.
Детальная информация о прорехе в защите не разглашается. В настоящее время уязвимость эксплуатируется редко, возможно, в связи с малой распространенностью Office 2007. Исполнительный директор eEye Росс Браун заявил, что эксплойт к данной уязвимости пока не обнаружен.
Сразу после нахождения дыры в Office Publisher 2007 в середине февраля извещение об этом было отправлено разработчикам пакета. По словам представителей Microsoft, они исследуют проблему вместе с eEye и, в случае необходимости, выпустят соответствующие патч и руководство для пользователей.
С момента официального выхода MS Office 2007 30 января 2007года прошло менее месяца. Эксперты eEye считают, что столь скорое обнаружение первой серьезной уязвимости продукта не на руку Microsoft.
"Одно дело — просто уязвимость, а другое — критическая уязвимость", — говорит Росс Браун. По его словам, в eEye используют стандартные методы тестирования и проверки кода, удивительно, что данная ошибка не была найдена в Microsoft. Росс Браун делает вывод, что разработчики софтверного гиганта либо отнеслись к проверке кода невнимательно, либо в этом процессе участвовало недостаточное количество специалистов.
Напомним, недавно Microsoft выпустила патч к критичекой уязвимости антивирусного ядра Windows Vista и некоторых других своих продуктов. Эта дыра стала первой серьезной проблемой операционной системы, закрытой после ее официального выхода.