Office XP umožní spustit skripty v Internet Exploreru i těm, co je mají zakázané.
Chyby oznámili Microsoftu jejich nálezci – GreyMagic Software z Izraele – před měsícem, Microsoft nyní chyby zkoumá, ale nálezcům došla trpělivost. Microsoft pochopitelně nemá rád, pokud jsou zveřejňovány chyby dříve, než jsou k dispozici záplaty, ale to už je prostě život.
První nalezená chyba se dotýká vylepšených webových komponent distribuovaných v novém Office XP. Tyto komponenty je možné zdarma stáhnout i individuálně. Office Web Components slouží pro doplnění tabulek, grafů a kontingenčních tabulek do webových stránek a jsou certifikovány jako bezpečné pro skriptování.
Tyto komponenty byly již v dřívějších verzích Office, ale novinkou v Office XP je doplnění komponenty pro tabulky o vzorec =HOST(), který vrací aktuální prostředí, kde je komponenta využita. Pomocí této komponenty je možné vstoupit do DOM (struktury dokumentu) a ovlivňovat jeho vlastnosti. Navíc je možné přes funkci setTimeout spustit ve stránce skripty i v případě, že samotné spouštění skriptů je zakázáno v nastavení prohlížeče.
Nálezci dávají k dispozici i dvě ukázky: vypněte si aktivní skriptování a zkuste si jednoduché zobrazení skriptu s vypočítaným výsledkem, nebo dokonce složitější ukázku nabízející dopsání a spuštění libovolného vašeho skriptu.
Zatímco tedy u většiny chyb bez dostupných záplat stačí vypnout v nastavení zabezpečení prohlížeče aktivní skriptování, v tomto případě je nutné ještě vypnout spuštění ActiveX komponent. Pochopitelně v takto okleštěném prohlížeči nebude řada stránek dobře fungovat.
Druhá chyba se týká možnosti číst a měnit obsah schránky na počítači. Jde to i v případě, že přímo zakážete možnost kopírovat a číst obsah schránky přes skripty. Opět je k tomu využitá komponenta pro excelovou tabulku a kopírování a čtení uvnitř této komponenty. Chybu obsahuje nejen Office XP ale i předchozí verze Office. Navíc je možné neustále monitorovat obsah schránky a ten poslat případně zpět na server útočníka, jak se opět můžete přesvědčit v ukázce na stránce s popisem chyby.
Třetí chyba pak umožňuje čtení lokálních textových dokumentů v rámci excelové tabulky. V textových souborech, navíc s přesně známým názvem jsou nicméně jen zřídkakdy citlivé informace, proto se nejedná o vážnou chybu. Postižena je i předchozí verze webových komponent Office.
Poslední zveřejněná chyba je nejméně závažná – umožňuje pomocí několika komponent zjišťovat, zda má uživatel na svém disku soubor s přesně zadaným názvem. Samostatně se jedná o nezneužitelnou chybu. Je nicméně možné například zjišťovat systém počítače dle umístění charakteristických souborů a tomu pak přizpůsobit následné akce.
Samotné chyby nejsou upřímně nijak závažné, neotevírají žádná bezprostřední vrátka do systému a nejsou přímo zneužitelné například ke spouštění vlastních programů. Proto můžeme předpokládat, že se nestanou součástí nějakých webových červů. Přesto se jedná o chyby, kvůli kterým je několik nastavení zabezpečení v Internet Exploreru zbytečných. Jak již bylo řečeno, Microsoft na záplatách pracuje...