Microsoft avliver i praksis Office XP

Selskapet sier det er umulig å fjerne kritisk sårbarhet.

Microsoft kom i går med ti sikkerhetsoppdateringer til selskapet programvare. I alt fjerner sikkerhetsoppdateringene over 30 sårbarheter i ulike utgaver av Windows, Office, SharePoint Server og Internet Explorer. Det meste av dette ble kjent i forrige uke, og en oversikt over alle sikkerhetsoppdateringene finnes her.

Det som derimot ikke har vært kjent, er at en av sårbarhetene som berører alle nyere utgaver av Office-pakken, ikke vil bli fjernet fra Office XP. Det dreier seg om en sårbarhet i COM-valideringen som åpner for fjernkjøring av vilkårlig kode.

Microsofts oppgir på denne siden at perioden for utvidet support til Office XP skal vare til og med den 12. juli 2011, altså et år fram i tid. Likevel lar selskapet være å utgi den aktuelle sikkerhetsfiksen til den aldrende Office-pakken fordi det vil være for krevende.

I FAQ-seksjonen på denne siden skriver Microsoft at arkitekturen som kreves for skikkelig å støtte sikkerhetsfiksene som korrigerer valideringen, ikke eksisterer i Office XP. Dette gjør det ifølge selskapet umulig for Microsoft å fjerne sårbarheten. Dessuten mener selskapet at en ombygging av arkitekturen vil kunne føre til kompatibilitetsproblemer med andre applikasjoner.

– Etter vår mening betyr dette i hovedsak at Office XP/2002-produktene nå har nådd «End-of-Life» fordi et kritisk, utnyttbart sikkerhetshull vil forbli åpent, sier Thomas Kristensen, sikkerhetssjef i danske Secunia, i en pressemelding.

Forøvrig mener sikkerhetsselskapet at Microsoft kunder bør være spesielt raske med å installere sikkerhetsoppdateringene som berører Internet Explorer (MS10-035) og Windows Media Player (MS10-033). Årsaken til dette er at disse oppdateringene fjerner de av sårbarhetene som Secunia mener er de mest sannsynlige at blir utnyttet på en pålitelig måte.

    Les også:

Til toppen