Da Microsoft i forrige uke kom med sikkerhetsoppdateringer til selskapets programvareprodukter, ble det også rulle ut en oppdatering som rett og slett skrur av støtten for teknologien Dynamic Update Exchange (DDE) i alle nyere utgaver av Word, også inkludert Word 2007, som Microsoft egentlig ikke støtter lenger.
DDE gjør det blant annet mulig for Office-applikasjonene å laste data fra filene til andre Office-applikasjoner, for eksempel Excel-regne-ark i Word-dokumenter.
Egentlig er DDE en gammel teknologi som i stor grad har blitt erstattet av OLE (Object Linking and Embedding). Men DDE støttes fortsatt av Office-produktene.
Feil eller feature?
I oktober i år publiserte Sensepost detaljer om hvordan DDE gjør det mulig å kjøre kode i Word uten å bruke verken makroer eller å utnytte minnekorrumpering. Men ifølge Bleeping Computer ble ikke problemet ansett som en virkelig sårbarhet av blant annet Microsoft. I stedet ble det hele omtalt som en ønsket funksjonalitet som ble misbrukt til distribusjon av skadevare. Dessuten viser Office-produktene en advarsel før de integrerte filene åpnes.
Men i ettertid har Microsoft altså skiftet mening, trolig fordi teknikken blir benyttet i faktiske angrep.
Microsoft har ikke deaktivert DDE i Excel, Outlook og Publisher. Microsoft anbefaler brukere av disse applikasjonene om å lese disse rådene, hvor det også er beskrevet hvordan DDE-funksjonaliteten kan deaktiveres også i disse applikasjonene.
Microsoft har på denne siden også oppgitt informasjon om hvordan DDE-funksjonen i Word kan aktiveres igjen, dersom noen skulle ha behov for dette.
Leste du denne? Hackernes favorittverktøy følger med Windows. Du bør kanskje fjerne dette programmet (Digi ekstra)