Ежемесячное обновление безопасности Microsoft обошло стороной критическую уязвимость в Word 2000, хотя ее активно используют для атак. Microsoft выпускает обновления раз в месяц, что означает возможность эксплуатации "дыры" хакерами до следующего обновления - 10 октября. По мнению Амола Сарвата (Amol Sarwate), менеджера по исследованиям аналитической компании Qualys, специалисты Microsoft просто не успели выпустить соответствующую «заплатку» — у них не хватило на это времени. Microsoft предупредила на прошлой неделе о том, что злоумышленники используют ранее не известную уязвимость в Word 2000 для атак. Способ атаки — присылка специально сконструированного вложения в формате Word 2000. В Microsoft заявили о том, что работают над «заплаткой», но 6 сентября в бюллетене по безопасности не было дано точной даты ее выпуска. «Дыра» в Word 2000 похожа на ту критическую уязвимость, которую Microsoft устранила во вторник — в Microsoft Publisher, входящем в Office 2000, XP и 2003. Закрытая уязвимость описана в бюллетене MS06–054. Специально созданный файл Publisher позволяет захватить полный контроль над системой. Ошибка кроется в некорректном разборе формата файла. Эксперты по безопасности PatchLink, выпускающие «заплатки» к различному ПО, советуют администраторам включить в Microsoft Word «безопасный режим», запрещающий выполнение макрокоманд сценариев, а также проверять все документы на наличие вредоносного кода.
Источник