Gwałtowny spadek liczby dziur w MS Office
Niezależnie od siebie dwaj badacze, Will Dorman z Carnegie Mellon University oraz Dan Kaminsky, przeprowadzili testy porównujące liczbę dziur w pakietach MS Office oraz Open Office.
Ich prace wykazały, że w ciągu ostatnich lat liczba luk w obu pakietach spadła, jednak w przypadku produktu Microsoftu spadek był tak olbrzymi, iż znajduje się w nim mniej dziur niż w Open Office.
Obaj specjaliści użyli automatycznych narzędzi do stworzenia tysięcy wadliwych plików .doc i za pomocą tych plików przebadali bezpieczeństwo pakietów, a dane sprawdzili za pomocą microsoftowego narzędzia Iexploitable Crash Analyzer. Następnie policzyli liczbę awarii oraz sprawdzili znalezione przez Crash Analyzera luki. Pod uwagę brano tylko te dziury, które można było na pewno lub prawdopodobnie wykorzystać do ataku na komputer użytkownika.
Dormann wziął pod uwagę MS Office XP, 2003, 2007 i 2010 oraz OpenOffice 3.2.1 i 3.30 RC7. Zauważył ciągły spadek liczby dziur w produktach Microsoftu i stwierdził, że pomiędzy pierwszą a ostatnią z branych pod uwagę wersji liczba dziur dających okazję do ataku spadła z 7 do 0. Tymczasem pomiędzy obiema wspomnianymi edycjami OO liczba dziur pozwalających na atak zmniejszyła się z 18 do 15.
Wyniki uzyskane przez Kaminsky'ego wskazują na jeszcze większą redukcję liczby luk. Jego zdaniem Office 2003 zawierał 127 luk które można było potencjalnie lub w rzeczywistości wykorzystać. Ich liczba spada do 12 w przypadku MS Office 2007 i do trzech w MS Office 2010. Tymczasem w wersji OpenOffice z roku 2003 luk takich było 73, w wersji z roku 2007 znaleziono ich 62, a w edycji najnowszej jest ich 20.
Obaj analitycy ostrzegają jednak przed nadinterpretowaniem ich wyników. Wskazują one na znaczną poprawę bezpieczeństwa, szczególnie w przypadku Microsoftu, który wdrożył skuteczne procedury tworzenia i testowania kodu oraz reagowania na zagrożenia. Dodają też, że mniejsza liczba dziur w MS Office nie oznacza, że jest to produkt bezpieczniejszy.
Pakiet Microsoftu jest bowiem znacznie bardziej popularny od Open Office'a, a co za tym idzie, cieszy się większym zainteresowaniem ze strony cyberprzestępców. Stwarza tym samym większe zagrożenie dla swojego użytkownika.
Sytuacja powinna wkrótce ulec zmianie, gdyż za kilka miesięcy skończy się wsparcie dla Office XP i firmy zaczną aktualizować pakiet do jego nowszych, bezpieczniejszych wersji. Ponadto Microsoft zastosował ostatnio w starszych edycjach MS Office'a mechanizm "Office File Validation", którego celem jest uniemożliwienie uruchomienia niektórych szkodliwych plików.
Mariusz Błoński
