Уязвимость в Microsoft Office Publisher 2007, обнаруженная eEye, позволяет удаленно выполнить произвольный код на целевой системе. Атакующий может изготовить вредоносный файл нового формата, поддерживаемого Office Publisher. При его открытии система инфицируется, и становится возможно исполнение в ней произвольного кода.

Детальная информация о "дыре" не разглашается. В настоящее время уязвимость эксплуатируется редко, возможно, в связи с малой распространенностью Office 2007. Исполнительный директор eEye Росс Браун (Ross Brown) заявил, что эксплойт к данной уязвимости пока не обнаружен.

Сразу после нахождения "дыры" в Office Publisher 2007 в середине февраля извещение об этом было отправлено разработчикам пакета. По словам представителей Microsoft, они исследуют проблему вместе с eEye и, в случае необходимости, выпустят соответствующие патч и руководство для пользователей.

С момента официального выхода MS Office 2007 30 января 2007 год. прошло менее месяца. Эксперты eEye считают, что столь скорое обнаружение первой серьезной уязвимости продукта "не играет на руку" Microsoft. "Одно дело - просто уязвимость, а другое - критическая уязвимость", - говорит Росс Браун. По его словам, в eEye используют стандартные методы тестирования и проверки кода, удивительно, что данная ошибка не была найдена в Microsoft. Росс Браун делает вывод, что разработчики софтверного гиганта либо отнеслись к проверке кода невнимательно, либо в этом процессе участвовало недостаточное количество специалистов.

Напомним, недавно Microsoft выпустила патч к критичекой уязвимости антивирусного ядра Windows Vista и некоторых других своих продуктов. Эта "дыра" стала первой серьезной проблемой операционной системы, закрытой после ее официального выхода.
источник: CNews