Avslører to nye sikkerhetshull i Microsoft Office

Sikkerhetsekspert Georgi Guninski publiserer kode som viser to nye sårbarheter i Office. Microsoft erkjenner bare den ene.

På sitt nettsted har den bulgarske sikkerhetseksperten Georgi Guninski avslørt to nye sikkerhetshull i Microsoft Office. Han hevder han dokumenterte sårbarhetene overfor Microsoft 17. mars, og at han ventet i to uker før han publiserte dem.

Etter et oppslag i IDG.net der Microsoft erkjenner bare en av sårbarhetene, har han offentliggjort ny kode som viser hvordan Office-brukere kan rammes gjennom den sårbarheten som Microsoft ikke erkjenner. Den første sårbarheten, som Microsoft erkjenner overfor IDG.net men ikke overfor opphavet, ifølge Guninski selv, dreier seg om Outlook 2002. Det skal være mulig å nedfelle aktivt innhold i html-formatert e-post, slik at de aktive elementene utløses dersom brukeren svarer på e-postmeldingen eller videresender den.


Den andre sårbarheten, som Microsoft bestrider, gjelder en angivelig lus i regneark-komponenten som gjør det mulig å åpne et regneark innenfra et Word- eller Powerpoint-dokument. Guninski mener det er mulig å utnytte denne lusa til å plassere en vilkårlig eksekverbar fil i offerets oppstartmappe. I den opprinnelige meldingen gjengir han kode som skal vise at dette er mulig. I presiseringen som er distribuert per e-post til registrerte abonnenter, gjengir han mer kode som skal bevise at han har rett.

Til IDG.net kommer Microsoft med skarp kritikk mot Guninskis framgangsmåte, der han villig gir crackere redskap for å ramme brukere av Office XP. Guninski mener at Microsoft har seg selv å takke, og at to uker må være tilstrekkelig frist for en programvareleverandør å gi tilbakemelding når det varsles om nye sårbarheter.

Til toppen