Несмотря на все усилия Microsoft по повышению безопасности программного обеспечения, в ее продуктах продолжают обнаруживаться серьезные уязвимости. Не успела Microsoft среагировать на обнаружение дыры в ActiveX-модуле File Transfer Manager, как вынуждена была снова латать слабые места в системе безопасности своих продуктов.
На этот раз дыры обнаружились не в редком программном компоненте, вроде уже упомянутого File Transfer Manager, а в самых популярных продуктах компании: MS Office и Internet Explorer. Опасность новых уязвимых мест специалисты Microsoft оценивают как критическую.
В MS Office были обнаружены сразу три уязвимости, все из которых находятся в модуле Office Web Components (OWC), ответственном за интеграцию офисных программ Microsoft с Интернет. Наиболее серьезная уязвимость связана с имеющейся в OWC функцией Host. Прислав пользователю особым образом скомпонованное письмо в формате HTML или заманив его на специальную Web- страницу, хакер может использовать эту функцию для захвата полного контроля над компьютером.
Две другие уязвимости связаны с методами загрузки текста и работы с буфером обмена, реализованными в Office Web Components. Используя некоторые их особенности, злоумышленник может просматривать содержимое файлов и буфера обмена на компьютере жертвы.
По данным Microsoft, эти дыры имеются в следующих программных продуктах компании: MS Office 2000 и Office XP, а также в BackOffice Server 2000, BizTalk Server 2000 и 2002, Commerce Server 2000 и Commerce Server 2002, Internet Security and Acceleration Server 2000, Money 2002 и 2003, Project 2002, Project Server 2002 и Small Business Server 2000. Компания уже выпустила соответствующую заплатку. Она подходит для всех вышеуказанных продуктов, кроме Project и Project Server. Пользователям Office XP рекомендуется вместо универсального патча установить недавно выпущенный Service Pack 2. Более подробную информацию о дырах можно найти в соответствующем бюллетене Microsoft.
Кроме этого, 22 августа Microsoft выпустила кумулятивный патч для браузера Internet Explorer версий 5, 5.5 и 6. Он исправляет сразу шесть уязвимостей, включая дыру в реализации протокола gopher, ошибку переполнения буфера в модуле ActiveX, ответственном за форматирование текста, возможность чтения XML-файлов через функцию перенаправления (redirect) и другие, сообщает "Компьюлента".
