Jesteśmy na bakier z aktualizacjami pakietu Office.

microsoft_office_logoMicrosoft opublikował raport informujący o podatności na ataki pakietów Microsoft Office. Okazuje się, że 71% wszystkich wychwyconych ataków w pierwszej połowie 2009 roku wykorzystywało lukę w programie Word, która została załatana czerwcu 2006 roku. Kolejne 13% ataków wykorzystywało lukę w zabezpieczeniach załataną w marcu 2008 roku.

Większość z ataków przeprowadzono z wykorzystaniem luk w Office, który był aktualizowany między lipcem 2003 roku a czerwcem 2004 roku. Najbardziej na ataki był narażony Office 2003, który nie był aktualizowany ani za pośrednictwem zbiorczych aktualizacji w postaci Service Packów, ani pojedynczych aktualizacji zabezpieczeń wydawanych od momentu premiery pakietu, czyli o października 2003 roku.

Dalsza część podaje dalsze przerażające dane liczbowe, według których mediana czasu pomiędzy kolejnymi aktualizacjami pakietu Office wynosiła 5,6 roku, co jest przerażające jeżeli porównać ten czas z 1,2 roku dla okresu pomiędzy aktualizacjami systemu Windows.

Podczas testów Microsoft wykazał, że w przypadku użytkowników pakietu Office 2003 RTM wystarczy zainstalować Service Pack 3, a by uchronić się przed 98% wszystkich zaobserwowanych ataków. Z kolei użytkownicy pakietu Office 2007 RTM mogą uchronić się przed 99% ataków instalując SP2.

Jak widać Microsoft postanowił zwrócić uwagę użytkowników swoich produktów na niebezpieczeństwa jakie się wiążą z używaniem nieaktualizowanego pakietu Office. Niestety problemem jest fakt, że aktualizacje do pakietu biurowego nie są dostępne z poziomu Windows Update, a z poziomu Microsoft Update, co powoduje, że większość użytkowników pomimo, że korzystają z automatycznych aktualizacji i instalują za ich pośrednictwem poprawki dla systemu Windows, wciąż korzystają z dziurawych pakietów Office. To dość duże nieporozumienie ze strony Microsoftu, które może doprowadzić do zainfekowania naszego komputera trojanami i oprogramowaniem typu malware, które otwiera drzwi innym szkodnikom krążącym po sieci.

Czy Microsoft ma zamiar coś w tej kwestii zrobić, oprócz zalecenia w omawianym raporcie korzystania z witryny Microsoft Update? Póki co kończy się na zaleceniach.

Pojawia się również inny problem. Otóż duża część, jeżeli nie większość użytkowników korzysta z pirackich kopii oprogramowania Microsoft Office co praktycznie eliminuje możliwość jego aktualizacji. Kolejny to dowód na nieopłacalność korzystania na dłuższą metę z pirackich kopii oprogramowania. Tyczy się to i systemu operacyjnego i pakietu biurowego.