Microsoft heeft in de patchronde van deze maand ook een update uitgebracht voor Office 2003 op Windows én Office for Mac 2011. Die twee aparte, en acht jaar van elkaar verschillende, versies van het softwarepakket hebben een beveiligingsgat overeenkomstig. Dit is een kwetsbaarheid die via malafide Office-bestanden kan zorgen voor een geheugenoverflow waardoor malware valt uit te voeren. Dat gebeurt dan met de rechten van de gebruiker die op dat moment is ingelogd.

Alle Office-applicaties

Dit gat zit in een gedeelde component en raakt dus alle applicaties in Microsofts kantoorpakket 2003 voor Windows en 2011 voor Mac OS X. De tussenliggende versies Office 2007, 2010 en 2013 zijn echter niet getroffen. Mailclient Outlook is alleen kwetsbaar als Word staat ingesteld als de reader voor documenten. Dat is bij Office 2003 standaard niet het geval, merkt Microsoft op in het beveiligingsbulletin over deze patch. Het toesturen van een attachment voor een andere Office-applicatie 'omzeilt' deze beperking.

De kwetsbaarheid (CVE-2013-1331) wordt in de praktijk al gebruikt voor gerichte aanvallen, meldt Microsoft. Het gat zelf is bij de softwareleverancier gemeld door security-onderzoekers Andrew Lyons en Neel Mehta van Google. Zij hebben de zaak stilletjes aangekaart bij Microsoft, wat het bedrijf coordinated vulnerability disclosure noemt. Daarbij worden ontdekkers van beveiligingsgaten geacht hun vondst te melden bij de fabrikant van de getroffen software om dat vervolgens stil te houden totdat er een patch is.

De Office-patch (MS13-051) is volgens Microsoft belangrijk, maar niet kritiek. Toch is de exploitability en dus de prioriteit voor uitrol hoog: