Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

Ошибка Word 2007 является функцией, а не багом

Напечатать страницу
17.04.2007 13:07 | deeper2k

Новые ошибки в Word 2007, заявленные израильским исследователем как уязвимости, по мнению Microsoft, к таковым не относятся. Вместо этого компания утверждает, что так и было задумано.

Исследователь, который неделей раньше опубликовал информацию о багах, к которой были прикреплены скриншоты со сбоями в работе Word, искренне удивился реакции Microsoft на его находки.

В понедельник Мати Аарони (Mati Aharoni), исследователь из Offensive Security, сообщил о трех новых уязвимостях в Word 2007 на секьюрити-сайтах Milw0rm и SecurityVulns.com, снабдив свое сообщение документами Word, выступившими доказательством концепции (proof-of-concept). Microsoft, тем не менее, к такому заявлению осталась равнодушной.

Позднее в четверг пресс-секретарь компании повторно озвучила мнение компании по поводу заключения Microsoft Security Response Center (MSRC), в котором говорится, что "ни одной из уязвимостей не подвержен ни Microsoft Word 2007, ни любое иное приложение из состава Microsoft Office System".

Когда пресс-секретаря попросили уточнить, она сказала, что компания не рассматривает найденные уязвимости как риски в безопасности. Такое поведение Word 2007, скорее, функция приложения, а не баг. "На самом деле, наблюдаемая проблема в Microsoft Word 2007 заложена в дизайне с целью увеличить безопасность и стабильность путем завершения работы Microsoft Word, когда в нем пытаются открыть неправильно созданный документ" - заявила пресс-секретарь.

Затем она сообщила, что при таких условиях Word 2007 завершает свою работу, и единственное, к чему это может привести - это потеря несохраненных данных. "Приведенный код вызывает завершение работы Microsoft Word и пользователи могут с легкостью перезапустить приложение, чтобы продолжить свою работу".

Такое поведение MSRC в порядке вещей. Ранее MSRC разделила баги на две крупные категории: 1) позволяющие удаленное исполнение произвольного кода и повышающие права; 2) вызывающие отказ в обслуживании (denial-of-service). Ранее MSRC отказалась классифицировать проблемы, вызывающие завершение работы приложений, в качестве уязвимостей. Кроме того, такие проблемы подлежали решению исключительно с выходом сервис-пака.

Такой же позиции придерживается и Дэвид Леблан (David LeBlanc), один из секьюрити-гуру Microsoft, и Майкл Ховард (Michael Howard), соавтор только что изданной книги "Writing Secure Code for Vista". "Вы будете правы, если скажете, что завершение работы приложения- - это всегда плохо, и если иметь ввиду серверные приложения, выполняющиеся в фоновом режиме, то тут я согласен. Завершение работы - это ошибка в коде" - пишет Леблан на блоге MSDN. "Тем не менее, завершение работы приложения может быть меньшим из зол во многих ситуациях. Теория говорит, что в клиентских приложениях завершение работы предпочтительней, чем shell-коды какого-нибудь хитрого парня".

Office 2007 использует именно эту стратегию, как сказал Леблан, который, как и MSRC, отказывается классифицировать такие результаты как DoS-атаку. "Я в корне не согласен с теми, кто классифицирует завершение работы клиентского приложения как DoS-атаку" - заявил он. "Если вы сможете завершить мое приложение так, чтобы я не смог запустить его снова или для этого мне потребуется перезапуск всей системы, тогда это DoS. А если с помощью документа вы завершите мое приложение и я более не смогу загрузить этот документ, то это, по-моему, отличная идея".

Что касается Аарони, то он несколько озадачен ответом Microsoft, что это не уязвимости. "Я получил сообщения от многочисленных пользователей, которые подтвердили завершение работы приложения" - сообщил он в своем блоге. "Надеюсь, что Microsoft оценит возможные последствия данной ошибки".

Представители компании заявляют, что компания продолжит исследование проблемы. "Мы уделим особое внимание возможной реализации уязвимости в предыдущих версиях Microsoft Office" - заявила пресс-секретарь.


Источник: http://www.computerpartner.nl
Перевод: deeper2k

Комментарии

Не в сети

"это фича а не баг" - гениально!

17.04.07 13:57
0
Не в сети

сидите люди на офис 2000 - к нему уже никто не копается )))

17.04.07 14:20
0
Не в сети

офис 2000 маздай, я сижу на 2003 (руки не докапываются скачать 2007)

17.04.07 15:42
0
Не в сети

Все верно - после релиза проги все баги становятся особенностями.

17.04.07 17:24
0
Не в сети

Потеря данных - страшное дело. По-моему, можно получить больше убытков от потери информации, чем от неоткрывающегося Word'а.

17.04.07 18:07
0
Не в сети

У Microsoft похоже новая стратегия против конкурентов и недоброжелателей: "Это не баг - это функция, которая повышает безопасность!"

17.04.07 20:30
0
Не в сети

17.04.07 20:31
0
mmc +31
Не в сети

На vista 2000 нормально не работает.

17.04.07 22:07
0
Не в сети

2007 офис конечно оригинален, но это вроде как уже не MS Office, а что-то совсем другое. Сочуствую бедным Ай-тишникам, которым придется снова обучать глупых теток печатать тексты.

18.04.07 09:40
0
Не в сети

бу га га ну это уже слишком, так бы просто и сказали что их офис 2007 нифига не доделан и выглядит как бета версия!

18.04.07 09:56
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.087 секунд (Общее время SQL: 0.069 секунд - SQL запросов: 71 - Среднее время SQL: 0.00097 секунд))
Top.Mail.Ru