Nejdůležitější aktualizace pro MS Office: MS06-027

8. 11. 2009

Sdílet

71 % všech útoků proti MS Office zaznamenaných v letošním roce zneužívá chybu ve Wordu, kterou Microsoft opravil již před 3 roky. Přesto tato záplata na mnoha počítačích není nainstalována.

Microsoft zranitelnost vyřešil již v červnu 2006 pomocí opravy MS06-027, která byla určena pro Word ve verzích 2000, 2002 a 2003. Mnoho uživatelů verze Office 2003 ale sadu neaktualizují a neinstalují ani balíčky Service Pack. V takovém případě ke vzdálenému spuštění kódu stačí, pokud otevřou podvodný wordovský dokument zaslaný například e-mailem.

Druhý nejoblíbenější typ útoků proti MS Office zneužívá chybu MS08-014, která byla opravena loni v březnu.

Obecně ze statistik Microsoftu vyplývá, že MS Office lidé aktualizují mnohem nedbaleji než samotný operační systém. Průměrná doba aktualizace sady Office je stěží uvěřitelných 5,6 let. Wolfgang Kandek ze společnosti Qualys ale pro americký Computerworld uvedl, že jejich data vedou k podobnému závěru. Problém se podle něj týká nejenom domácích uživatelů, ale i celé řady firemních sítí, které neužívají službu Microsoft Update (protože v rámci Windows Update se Office neaktualizuje). Kandek uvedl i to, že Microsoft by možná neměl provozovat více aktualizačních služeb vedle sebe, protože to uživatele mate.

Přitom by se ledacos vyřešilo, kdyby uživatelé sice neinstalovali každý měsíc aktualizace, ale alespoň nasazovali Service Packy. SP3 pro Office 2003 (z října 2007) by ochránil před 98 % zaznamenaných útoků, SP2 pro MS Office 2007 (vydaný letos v dubnu) by zastavil dokonce 99 %.

Mezi bezpečnostními chybami v MS Office obecně převládají problémy se zpracováním souborů, především starších verzí Wordu, při nichž se může spustit útočný kód. Microsoft chyby tohoto typu opravil již mnohokrát, ale stále se objevují nové.

ICTS24