Microsoft potwierdza lukę w Excelu i naprawia Autorun

Zaledwie kilka godzin po ujawnieniu Microsoft potwierdził istnienie luki w zabezpieczeniach Excela, wydając komunikat o zabezpieczeniach (968272). Za pomocą spreparowanych plików Office napastnicy są w stanie przemycić i wykonać skrypt. Według dotychczasowego rozpoznania luka jest używana jedynie w ograniczonym zakresie do precyzyjnych ataków.

Problem dotyczy nie tylko różnych wersji Excela z Microsoft Office Excel 2007 Service Packiem 1 włącznie, ale też różnych czytników Excela i wersji Microsoft Office 2008 dla komputerów Macintosh. Jako zabezpieczenie Microsoft proponuje wiele obejść (workaround), spośród których najważniejszy polega na unikaniu otwierania plików Office pochodzących ze źródeł niegodnych zaufania lub też niezapowiedzianych. Na pytanie, kiedy pojawi się patch, który załata tę lukę, jak zwykle Redmond nie chce na razie udzielić odpowiedzi. Kolejny cykliczny patch day przypadałby dopiero za dwa tygodnie, 10 marca.

Równocześnie Microsoft ogłasza dostępność aktualizacji dla funkcji Autorun, która jednak będzie też dystrybuowana przez automatyczną aktualizację. Jak już pisaliśmy , wyłączanie funkcji Autorun przy podłączaniu pamięci USB nie działa tak, jak powinno. Z tego stanu rzeczy korzysta robak Conficker , który za pośrednictwem zainfekowanych pamięci USB krąży w sieciach firmowych, a nawet wojskowych. Aktualizacja nie wyłącza Autorun, ale jedynie pilnuje, aby funkcja naprawdę wyłączyła się wtedy, kiedy administrator wyłącza ją zgodnie z zaleceniami.

Zobacz także:

Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution , komunikat bezpieczeństwa wydany przez Microsoft

Update for Windows Autorun , komunikat bezpieczeństwa wydany przez Microsoft