Microsoft zvýšil bezpečnost starších Office 2003 a 2007

V Office 2010 tato bezpečnostní funkce, která je označená jako Office File Validation (OVE), testuje starší, před-XML formáty souborů pro Word, Excel, PowerPoint a Publisher a poté otevře ty, které nevyhovují zdokumentovaným formátům ve speciální "karanténě" nazvané Protected View.

V poslední době byl například do karantény Protected View v Office 2010 přesunut napadený dokument pro Word, který obsahoval škodlivý Flash soubor, jenž využíval nejnovější zero-day chybu tohoto programu společnosti Adobe.

A tento týden společnost Microsoft dodržela slib, který dala v minulém roce, a přinesla jednu část OVE i pro Office 2003 a 2007.

Uživatelé těchto balíků mohou stahovat a instalovat update, který zobrazí výstražné upozornění, pokud se Word, Excel, PowerPoint nebo Publisher pokouší otevřít potenciálně nebezpečný soubor. Tyto výstrahy jsou způsobem, jak nový update chrání uživatele, jelikož Office 2003 ani 2007 neobsahuje karanténu.

Ačkoliv uživatelé mohou i přes výstrahu pokračovat klikem v otevírání souboru, podnikoví IT administrátoři mohou toto zablokovat pomocí nastavení skupinových politik, prozrazuje Jerry Bryant, group manažer oddělení Microsoft Security Response Center (MSRC).

"Je to velká funkční změna, hlavně pro podniky," tvrdí Bryant, který dále dodal, že se společnost Microsoft rozhodla, že bude nejlepší zatím nenabízet OVE aktualizaci prostřednictvím služby Microsoft Update, což dá společnostem čas na testování této funkce. Bryant odmítl prozradit, kdy se nový update začne dodávat prostřednictvím zmíněné služby, nicméně Office tým prozradil, že by měl být k dispozici "v blízké budoucnosti."

Bezpečnostní experti chválí rozhodnutí společnosti Microsoft nabídnout OVE i pro starší verze sady Office.

"Co je zajímavé, je to, že to zastaví rozjetý modernizační vlak," tvrdí Andrew Storms, ředitel bezpečnostních operací ve společnosti nCircle Security. "Zpětná podpora OVE je skutečným důkazem, že společnost Microsoft bere v úvahu názory zákazníků, kteří chtějí tuto ochranu. V podstatě dávají uživatelům zdarma novou funkci."

Wolfgang Kandeck, technologický ředitel společnosti Qualys, vyzval všechny uživatele balíků Office 2003 a 2007, aby si nainstalovali OVE aktualizaci. "Myslíme, že by to mělo být povinné," prozrazuje Kandek. K doporučení instalace se přidal i Rodrigo Branco, ředitel výzkumu zranitelností u stejné společnosti.

"OVE zachytí mnoho z četných zjevných útoků založených na Word, PowerPoint a Excel dokumentech," vysvětluje Branco, který ohlásil jednu z devíti bezpečnostních trhlin zabezpečení v programu Excel, které Microsoft v úterý opravil v rekordním bezpečnostním updatu.

Pro balíček kancelářských programů Office XP, který se blíží ke konci cyklu podpory (Microsoft zastaví vydávání oprav pro deset let starý balík 12. července), není OVE aktualizace k dispozici.

V tomto okamžiku je OVE aktualizace volitelná a je k dispozici ke stažení z webu společnosti Microsoft.