Уязвимость OWC, Гунинский сообщил о недоработанном исправлении, Windows CE в автомобилях Volvo, ...
За длинные выходные (можно считать их майскими праздниками) накопилось много новостей из компании Microsoft, поэтому мы рассмотрим их кратко, чтобы успеть к следующим длинным выходным.
В публикации InternetNews (см. www.internetnews.com/dev-news/article/0,,10_1016171,00.html ) рассказано об ошибках обнаруженных в средствах разработки кода HTML из офисного пакета MS Office. Потенциальная уязвимость была обнаружена израильской компанией GreyMagic Security. Речь идет о компоненте Office Web Components (OWC), обеспечивающем инструменты HTML для формирования электронных таблиц, диаграмм и баз данных. Сотрудники GreyMagic обнаружили проблему еще в конце февраля и 8 апреля опубликовали свои результаты на собственном Web-сайте. Суть проблемы в том, что язык сценариев позволяет запустить даже запрещенные для исполнения коды и, в результате, посторонний человек сможет обратиться к буферу обмена, чтобы получить доступ к локальным файлам данных компонента OWC. Представитель Microsoft никак не прокомментировал обнаруженную уязвимость, но заявил, что "загрузка компонента OWC временно остановлена". Компания
GreyMagic рекомендует запретить ActiveX в браузере Internet Explorer или удалить из системы компонент OWC пока не появится соответствующее исправление от Microsoft. Заметим, что компонент OWC загружается с сайта Microsoft отдельно от пакета Office.
Известный исследователь ошибок в программных продуктах Microsoft, болгарин Георгий Гунинский (Georgi Guninski), заявил, что выпущенная заплатка для Office не полностью устраняет возможность исполнения зловредных сценариев. Заплатка была выпущена на прошлой неделе и предназначалась для всех, кто применяет редактор Word для создания сообщений в почтовых клиентах Outlook 2000 и 2002. Уязвимость была связана с тем, что в режиме ответа или перенаправления сообщения можно было исполнить произвольный сценарий в редакторе Word. Сам клиент Outlook блокирует исполнение сценариев при просмотре почтовых сообщений в формате HTML (если выбрана соответствующая зона безопасности), но этот запрет не распространяется на просмотр тех же сообщений в редакторе Word. Гунинский утверждает, что выпущенная Microsoft заплатка устраняет уязвимость только для передачи данных из Outlook в Word, но никак не отслеживает передачу данных по другим путям, например, в Excel. (см. www.theregister.co.uk/content/6/25064.html ).
Microsoft Corp. объявила на конференции ITS 2002 (Intelligent Transportation Systems) о совместных работах с автомобилестроительным концерном Volvo по созданию компьютерных систем управления автомобилями на основе технологий Microsoft. В частности, бортовой компьютер новых моделей Volvo S60 и S80 будет работать под управлением Windows CE. Система навигации бортового компьютера разработана Mitsubishi Electric Corp. (см. www.microsoft.com/presspass/press/2002/apr02/04-29VolvoPR.asp ).
На сайте Microsoft опубликован новый видео клип в формате Flash, рассказывающий о некоторых аспектах системы безопасности Windows XP и Office XP: защите подключений к Интернету, удаленном доступе и защите от вирусов. Несмотря на поверхностное изложение материала (предназначенное для непрофессиональных пользователей) сам видео клип выглядит прекрасно:
Исправление для Windows XP, касающееся рендеринга графических изображений в GDI+, устраняет ошибки при просмотре, редактировании и выводе на печать некоторых графических форматов. Исправление рекомендовано как для Windows XP Professional, так и для Windows XP Home Edition. Загрузка: