Eerste gaten in Office 2010 blootgelegd

Het Franse beveiligingsbedrijf Vupen meldt zijn vondst van het eerste beveiligingslek in Office 2010. Vrijwel direct daarna werd nummer twee ontdekt. De eerste is een lek dat geheugencorruptie mogelijk maakt via Office-applicatie Excel. De tweede betreft Word 2010. "We verwachten in de komende weken meer gaten te ontdekken."

Bescherming omzeild

Vupen heeft ook een werkende exploitcode gemaakt voor het eerste gat. Het is daarmee mogelijk eigen code uit te voeren op een Windows-pc met het nieuwe kantoorpakket van Microsoft. Daarbij worden enkele ingebouwde beveiligingsmaatregelen van Microsoft omzeild, zoals Data Execution Prevention (DEP) en Office File Validation.

Details over de gaten, alsook de exploitcode, worden niet openbaar gemaakt. Security-leverancier Vupen deelt de informatie wel met zijn overheidsklanten en voorziet die ook van enkele beschermingstips.

Wel veiliger

"Office 2010 is wel veel veiliger dan voorgaande Office-versies", meldt de ontdekker van de eerste gaten in het pakket dat sinds vorige maand op de markt is. Het uitvoeren van eigen code is wel nog altijd mogelijk, vervolgt Vupen. Het gebruikt daarvoor diverse methodes die het al hanteert om exploitcode voor Office 2007 te maken.

Microsoft prijst de nieuwe versie van zijn kantoorpakket aan als veiliger. Bij de ontwikkeling ervan zijn ook nieuwe technieken ingezet om gaten te vinden, en dan te dichten. Zo is er een intern botnet ingezet om middels fuzzing obscure bugs te vinden.

Fuzzing is een testmethode waarbij veel willekeurige data wordt 'afgevuurd' op software. Microsoft heeft kleine variaties gemaakt op valide Office-bestanden om die te laten openen door het applicatiepakket. Dat heeft 1600 potentiële gaten opgeleverd voor Office 2010, die vervolgens vóór de lancering van het pakket zijn gedicht.