Dat meldt InfoWorld. In een bericht op het weblog van het Microsoft Security Research Center (MSRC) liet operation manager Mike Reavey weten dat hij Microsoft in 2005 en 2007 al op de hoogte had gesteld van een aantal bugs binnen Jet, een onderdeel van Windows dat gegevenstoegang biedt aan applicaties als Microsoft Access en Visual Basic.

Bugs bewust niet verholpen

Beide keren gaf Microsoft de ontwikkelaars als antwoord dat de bugs niet verholpen hoefde te worden omdat de gebruikers veilig waren. "Outlook blokkeert het openen van bestandsformaat MDB, Exchange-servers filteren deze bestanden uit e-mails en Internet Explorer geeft een waarschuwing wanneer gebruikers op dergelijke bestanden klikken", was volgens Reavey het antwoord van Microsoft.

Het bedrijf zag de aanvalsstrategie die nu wordt gebruikt echter over het hoofd: "Alles is veranderd toen de nieuwe aanvalsvector werd ontdekt die het mogelijk maakt om een MDB-bestand te openen via een Microsoft Word-document. Dit wordt niet afgevangen door de huidige maatregelen en daarom hebben we ervoor gekozen om de fouten opnieuw onder de loep te nemen".

Patch

Op dit moment is MSRC nog steeds aan het uitzoeken hoe de bug verholpen kan worden. Het is mogelijk dat er een patch uitkomt die verhindert dat Word een MDB-bestand opent zonder de gebruiker daarvan op de hoogte te stellen, maar het kan ook zijn dat er een nieuwere versie van Jet wordt vrijgegeven, een die al is ingebouwd in Windows Vista, Windows Server 2003 SP2 en die al in de planning stond voor Windows XP SP3.

Bron: WebWereld Bron: Techworld