Тяжелое наследие "дырявого" MS Office [ Редагувати ]

Наследство, оставленное некоторыми старыми версиями приложений Microsoft Office, делает потенциально уязвимой конфиденциальную информацию и ослабляет защиту правительственных и коммерческих веб-сайтов во всем мире.

Поисковая машина Google сообщает, что на различных веб-сайтах для загрузки доступно свыше полумиллиона файлов .doc Microsoft Word. Среди них небольшой, но заметный процент составляют файлы, созданные с использованием версий ПО, производящих "дырявые" документы.

Баг, впервые обнаруженный в 1998 году, приводит к тому, что в неиспользуемые области документа попадают произвольные фрагменты данных из удаленных ранее файлов. Они могут содержать все, что когда-либо хранилось на компьютере пользователя, в том числе пароли, разделы других документов или письма. В документе эти данные остаются невидимыми, но, если его загрузить и просмотреть при помощи редактора шестнадцатеричных кодов, их легко можно будет прочитать.

К приложениям, создающим такие документы с утечкой, относятся Microsoft Word 6.0 и 7.0, а также версии 7.0 PowerPoint и Excel. Несмотря на то что вскоре после обнаружения бага вышел соответствующий патч, документы, созданные до его установки, остались уязвимыми и могут содержать произвольные куски конфиденциальной информации. Находящиеся в домене .gov веб-сайты правительства США, на которых хранится около 240 тысяч документов Word и 32 тысяч документов PowerPoint, тоже, похоже, предрасположены к таким утечкам. Небольшая выборка показала, что до 5% этих документов могло быть создано в неисправленных версиях программ.

Это глобальная проблема, хотя сильнее всего она проявляется в тех зонах Сети, которые активно использовались до обнаружения ошибки. Потенциально дырявые документы обнаружены на правительственных сайтах целого ряда стран, включая Канаду, Францию, Австралию и Новую Зеландию.