Дружелюбный "ассистент" Microsoft Office Assistant может стать помощником для хакеров и вирусов. Таков урок обнаруженного на прошлой неделе "черного хода" в этой программе.
Лазейка, позволяющая злоумышленнику написать скрипт, который, оказавшись в компьютере пользователя, может делать все что угодно, в том числе добавлять и удалять файлы, активизируется кликом на Web-странице или письме в формате HTML. "Возможно все что угодно, ведь эти функции помечены как safe for scripting, - говорит специалист по защите данных из компании @Stake, он же хакер по кличке Dildog, обнаруживший лазейку.
Microsoft выпустила заплатку, закрывающую эту лазейку, но пользователям придется сначала скачать ее, а затем обновить программу Office. Dildog одобряет быструю реакцию Microsoft на его предупреждение, но критикует компанию за слабую защиту системы скриптов Windows. "Вы не имеете права помечать какие-то функции как safe for scripting, если оставляете возможность запускать их дистанционно", - указывает он. Дело в том, что участники индустрии склонны замалчивать информацию о пробелах в защите. Обычно об этом известно лишь узкому кругу сотрудников компаний. "У Microsoft есть привычка держать людей в неведении, - говорит Dildog. - Данный способ перехвата управления не отражен ни в одном документе". По материалам ZDNet.
