Microsoft изучает сообщение об ошибке, которая делает уязвимыми к атакам системы с приложениями Access и Office.

Баг, не вошедший в число восьми исправленных в патче, который Microsoft разослала во вторник в рамках очередной рассылки исправлений для Windows, согласно рекомендации (http://secunia.
om/advisories/14896/), опубликованной в тот же день секьюрити-фирмой Secunia, кроется в механизме базы данных Jet, пишет ZDNet.ru. Он позволяет злоумышленнику дистанционно исполнять на уязвимом ПК произвольный код.

Microsoft не подтвердила существование уязвимости, однако Secunia оценивает проблему как “высококритичную”, отмечая, что код эксплойта для нее уже распространяется в открытых списках почтовой рассылки. “Она вызвана ошибкой управления памятью при анализе файлов базы данных, – говорится в рекомендации Secunia. – Эту уязвимость можно использовать для исполнения произвольного кода, если пользователь откроет в Microsoft Access специально созданный файл .mdb”.

Во вторник представитель Microsoft сообщил, что компании не известно о каких-либо атаках на системы заказчиков с использованием не устраненного пробела в защите. “Мы знаем о выпущенном эксплойте”, – сказал он, добавив, что Microsoft примет необходимые меры, как только завершит исследование проблемы.

Secunia отмечает, что первое сообщение (http://www.hexview.com/docs/20050331-1.txt) об этой ошибке поступило от секьюрити-фирмы HexView.

В продолжение споров о том, когда и каким образом специалисты, обнаружившие уязвимости, должны обнародовать их, Microsoft критикует исследователей: зачем они предали свою находку гласности, вместо того, чтобы тайно обратиться к производителю ПО и дать ему возможность заранее подготовить патч? “Очень жаль, что они решили опубликовать эту информацию”, – сказал представитель Microsoft.

В рекомендации HexView (http://www.hexview.com/docs/20050331-1.txt) говорится, что компания предупредила Microsoft об ошибке 30 марта, но ответа не получила. По словам представителя Microsoft, компания не зафиксировала никакого обращения из HexView до публикации информации.

Сообщение о проблеме появилось в тот же день, когда Microsoft выпустила исправления для восьми других ошибок, часть которых названа критическими, причем несколько из этих уязвимостей впервые преданы гласности в ежемесячном секьюрити-бюллетене компании (http://www.microsoft.com/security/bulletins/default.mspx).

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.