В программе Microsoft Office Assistant обнаружен "черный ход", позволяющий злоумышленнику написать скрипт, который может делать с компьютером пользователя все, что угодно, в том числе добавлять и удалять файлы, невзирая на все системы защиты от макро-вирусов.
Узнайте больше в полной версии ➞Как передает ZDNet, хакерский скрипт активизируется кликом на веб-странице или в электронном письме в формате HTML. Представитель фирмы компьютерной безопасности @Stake, он же хакер Dildog, нашедший "дыру", одобрил быструю реакцию Microsoft, которая тут же выпустила заплатку.
Тем не менее, хакер критикует компанию за слабую защиту скриптовой системы Windows и наличие незадокументированных возможностей. "Вы не имеете права помечать какие-то функции как "safe for scripting", если оставляете возможность запускать их дистанционно, — указывает он. - У Microsoft есть привычка держать людей в неведении. Данный способ перехвата контроля не отражен ни в одном документе".
Office Assistant с самого начала критиковали как "чайниковую" программу. Однако, несмотря на внешнюю простоту и дружественный интерфейс, Office Assistant скрывает в себе значительную мощь. Наличие в нем "черного хода" позволяет компании Microsoft перехватить управление удаленным компьютером, полностью блокируя при этом пользователя. Но ту же "дверь" может использовать и хакер. Демонстрационная программа фирмы @Stake переводит степень системной защиты на уровень low и копирует текстовый документ на жесткий диск. "Это позволяет создавать вирусы беспрецедентной разрушительной силы", — предупреждает @Stake.
Компания Microsoft, оперативно выпустившая заплатку, не дала никаких комментариев по поводу возможностей, описанных хакером, - однако поблагодарила его за указание "дыры".