Дефект в Outlook опаснее, чем предполагалось

Ошибка в Outlook 2002, о которой было впервые объявлено во вторник, когда Microsoft выпустила патч, позволяет злоумышленнику использовать специальный веб-сайт для загрузки и исполнения программ в ПК жертв. Выпустив поправку, Microsoft сообщила, что нападение возможно только в том случае, если в качестве начальной страницы по умолчанию в Outlook 2002 выбрана Outlook Today. Однако финский специалист по компьютерной безопасности Юко Пиноннен, обнаруживший ошибку, предупредил компанию, что на самом деле возможности для атаки шире, и она с этим согласилась.

«Уже распространив бюллетень, мы узнали, что злоумышленник может обойти ограничение Outlook Today», — сказал менеджер программы Microsoft Security Response Center Стивен Тулуз. Он подчеркнул, что выпущенная во вторник поправка предотвращает любую атаку, несмотря на то что дыра оказалась шире, чем думали.

Microsoft в третий раз за последние полтора года повышает уровень опасности пробелов в защите своего ПО. В декабре 2002 года она повысила статус двух уязвимостей со «среднего» до «критического», когда обнаружившие их специалисты выразили сомнение по поводу первоначальной классификации Microsoft.

Пиноннен говорит, что Microsoft не оповестила его, когда планируется выпустить патч, и не сообщила, насколько серьезной она посчитала уязвимость. «Я не знал, что проблему планируется обнародовать в этом месяце», — сказал он, добавив, что если бы его известили, он провел бы дополнительные исследования по смягчающим факторам, указанным Microsoft.

В среду Пиноннен предупредил, что уязвимость может использоваться злоумышленниками для распространения вирусов через сообщения email, отправленные пользователям Outlook 2002.

Для выпуска поправки Microsoft потребовалось больше семи месяцев — такая задержка подчеркивает, что софтверный гигант ставит качество своих обновлений выше оперативности. На предположение некоторых критиков о возможности выпускать патчи быстрее, Тулуз ответил, что главной заботой компании является всестороннее изучение степени влияния ошибок и исключение проблем с поправками. «Мы всегда стараемся понять, насколько широко будет влияние (дефекта) и предусмотреть в обновлении любые возможности», — сказал он.

Обновление для Outlook 2002 можно загрузить через Microsoft Download Center или установив Service Pack 3 для Office XP, который вышел в среду.