De softwareproducent heeft 6 maanden de tijd gehad om deze vijf lekken te dichten. Beveiligingsbedrijf TippingPoint, dat premies uitlooft voor het aanmelden van 0-day gaten, heeft Microsoft een half jaar geleden geïnformeerd. Het gaten verzamelende bedrijf houdt die informatie zes maanden lang onder de pet, waarna het overgaat tot openbaarmaking.

Uitbuiten

De gaten waar TippingPoint nu security-advisories voor publiceert, zitten in Office-applicaties Excel 2003 en 2007 (4 bugs) en Powerpoint 2007 (1 stuks). Kwaadwillenden kunnen die gaten uitbuiten om eigen code uit te voeren op kwetsbare pc’s. Daarvoor is wel ‘medewerking’ van eindgebruikers nodig: die moeten een malafide bestand uitvoeren of een kwaadaardige website bezoeken.

De advisories bevatten ook tips om de zwakke plekken af te dekken. Echt dichten moet wachten op patches van Microsoft. Die wou oorspronkelijk deze gaten dichten in de patchronde van deze maand, maar heeft dat op de valreep uitgesteld. Er waren nog problemen met de patches, meldt Computerworld.

Brakke patches

“Microsoft was zich al bewust van de vijf kwetsbaarheden die nu zijn onthuld door [TippingPoints] Zero-Day Initiative en werkte eraan om die te dichten in onze reguliere release cycle voor februari”, meldt manager Jerry Bryant van Microsofts security-responsteam (MSRC). “We hebben in de loop van het ontwikkelproces echter kwesties ontdekt die de uitrol door klanten zou verhinderen, en dus hebben we ervoor gekozen om de patches niet uit te brengen om ze verder te ontwikkelen.”

Microsoft heeft al te kampen met brakke, wel uitgebrachte patches voor Office-onderdeel Outlook. Dat zijn geen patches voor security-gaten en de problemen zijn ironisch genoeg geïntroduceerd door een eerste patch, die in december is uitgebracht. Die is gauw weer ingetrokken en in januari opgevolgd door een eerste herstelpatch, die net deze week een tweede herstelpatch heeft gekregen.

22 gaten

In totaal onthult TippingPoint nu 22 gaten, waarvan dus 5 in Microsoft Office. De overige lekken zitten in software van Adobe (Flash, Shockwave, Acrobat en Reader), RealNetworks, IBM, HP, EMC, Novell, CA en oud Unix-leverancier SCO. Sommige van die bugs zijn wel tweeënhalf jaar geleden gemeld aan de verantwoordelijke softwarefabrikanten. TippingPoint hanteert namelijk pas sinds augustus vorig jaar de pressiemethode van onthulling na zes maanden.