Odpovědí na zranitelnosti bude v MS Office 2010 sandbox

4. 8. 2009

Sdílet

Plán Microsoftu vyhradit pro zpracování dokumentů v příští verze MS Office oddělený sandbox lze v jistém ohledu chápat jako neúspěch předchozích snah o zamezení útoků přes formát souborů.

I když Office 2007 přišel při zpracování souborových formátů starších verzí s novými mechanismy zabezpečení, množství útoků to ve skutečnosti nesnížilo.

John Pescatore, analytik společnosti Gartner, uvedl pro americký Computerworld, že útočníci hledají zranitelnosti především metodou pokus-omyl. Zkoumají import náhodně generovaných souborů starších formátů do nových verzí a testují, zda nedojde k problémům. I v tomto roce se při importu starších formátů neustále objevovaly zranitelnosti, nejen ve Wordu a Excelu, ale i v dalších aplikacích. Při uvedení nové verze kancelářského balíku si Microsoft přitom může jen těžko dovolit neumožnit import starších verzí (už to, že nový formát v Office 2007 nebyl kompatibilní zpětně, vyvolalo značnou nevoli uživatelů).

Microsoft podle citovaných analytiků za těchto podmínek v jistém ohledu rezignuje. Potenciálních zranitelností je tolik, že řešit je jednotlivě by byl boj s větrnými mlýny. Proto aplikace příštího Office 2010 poběží v sandboxu (v oddělených procesech, v terminologii Microsoftu „Protected View“), tak, aby mohly co nejméně zasahovat do vlastního systému, mít přístup k dalším souborům/datům atd. K dalším bezpečnostním ochranám v MS Office 2010 má patřit Office File Validation, což je funkce, která se objevila v Publisher 2007 SP 2.

bitcoin_skoleni

Z pohledu uživatele by se měly odstranit také mnohdy matoucí dialogy, které se zobrazují při otevírání starších formátů v Office 2007 a byly zpětně portovány i do Office 2003 v rámci balíčku SP3.