Dat meldtI nfoWorld. In een bericht op het weblog van het Microsoft Security Research Center (MSRC) liet operation manager Mike Reavey weten dat hij Microsoft in 2005 en 2007 al op de hoogte had gesteld van een aantal bugs binnen Jet, een onderdeel van Windows dat gegevenstoegang biedt aan applicaties als Microsoft Access en Visual Basic.

Bugs bewust niet verholpen

Beide keren gaf Microsoft de ontwikkelaars als antwoord dat de bugs niet verholpen hoefde te worden omdat de gebruikers veilig waren. "Outlook blokkeert het openen van bestandsformaat MDB, Exchange-servers filteren deze bestanden uit e-mails en Internet Explorer geeft een waarschuwing wanneer gebruikers op dergelijke bestanden klikken", was volgens Reavey het antwoord van Microsoft.

Het bedrijf zag de aanvalsstrategie die nu wordt gebruikt echter over het hoofd: "Alles is veranderd toen de nieuwe aanvalsvector werd ontdekt die het mogelijk maakt om een MDB-bestand te openen via een Microsoft Word-document. Dit wordt niet afgevangen door de huidige maatregelen en daarom hebben we ervoor gekozen om de fouten opnieuw onder de loep te nemen".

'Zeer zorgwekkend'

Volgens onderzoeker Oliver Friedrichs bij Symantec had Microsoft echter veel meer kunnen doen om het probleem te voorkomen: "Het aantal keren dat we dit in het verleden hebben zien gebeuren met een Microsoft product is al niet meer bij te houden. Het is vrij duidelijk dat Microsoft actie had moeten ondernemen, zowel in 2005 als in 2007. Dat dit niet is gebeurd is zeer zorgwekkend."

Patch

Op dit moment is MSRC nog steeds aan het uitzoeken hoe de bug verholpen kan worden. Het is mogelijk dat er een patch uitkomt die verhindert dat Word een MDB-bestand opent zonder de gebruiker daarvan op de hoogte te stellen, maar het kan ook zijn dat er een nieuwere versie van Jet wordt vrijgegeven, een die al is ingebouwd in Windows Vista, Windows Server 2003 SP2 en die al in de planning stond voor Windows XP SP3.