In de lading updates die Microsoft morgen uitbrengt in zijn maandelijkse patchronde bevindt zich ook een patch voor Office. Deze is voor twee verschillende en niet opeenvolgende versies van die kantoorsoftware. Bovendien gaat het om twee verschillende besturingssystemen. Naast Office 2003 op Microsofts eigen Windows krijgt ook Office for Mac 2001 (voor Mac OS X) een update.

Tussenversies niet kwetsbaar?

Het tien jaar oude pc-pakket en het twee jaar oude Mac-pakket krijgen een update om een gat te dichten dat in de praktijk al wordt misbruikt. "Er zijn beperkte aanvallen geweest in the wild die gebruik maken van deze kwetsbaarheid", stelt security-analist Paul Henry van patchbeheerbedrijf Lumension. Hij geeft Webwerelds Amerikaanse zustersite Computerworld.com uitleg over de aankomende, opmerkelijke Office-patches. Aanvallers hebben malafide Office-bestanden aan hun slachtoffers gemaild, stelt hij.

Volgens Henry is dit actieve misbruik niet aan de grote klok gehangen. Het is niet duidelijk wat de twee pakketten, met een leeftijdsverschil van acht jaar en ook een platformverschil, voor overeenkomsten hebben die deze kwetsbaarheid mogelijk maken. Voor tussenliggende Office-versies (2007 en 2010, voor Windows) is nu namelijk geen patch in aantocht. De vorige OS X-versie Office for Mac 2008 wordt sinds april dit jaar niet meer ondersteund door Microsoft. Windows-uitvoering Office 2003 geniet nog support tot april komend jaar.

Malware op afstand uitvoeren

De leverancier meldt in de vooraankondiging voor de Patch Tuesday van deze maand slechts dat het een gat dicht in Office 2003 met service pack 3 en Office for Mac 2011. In beide gevallen is de impact dat kwaadwillenden via een succesvolle aanval op afstand eigen code kunnen uitvoeren. De kwetsbaarheid krijgt van Microsoft de waardering 'belangrijk' mee. Het bedrijf maakt morgen meer details bekend, zodra het de patches heeft uitgebracht.