Ewolucja złośliwego oprogramowania IV-VI 2006

Przeczytaj także: Wirusy, robaki i trojany dla systemów Unix w 2005

Luka MS06-012 dotyczyła wszystkich produktów MS Office od wersji 2000. Był to pierwszy sygnał ostrzegawczy. Dotarł on nie tylko do firmy Microsoft, ale również do wielu hakerów, którzy rozpoczęli intensywne badania formatu dokumentów OLE. Niestety hakerzy okazali się skuteczniejsi od Microsoftu. Luki wykryte w ciągu trzech ostatnich miesięcy niewiele różniły się od siebie. U podstaw ich wszystkich leżał ten sam problem: błędne sprawdzanie niektórych danych w opisie OLE. Microsoft opublikował jedynie ograniczoną łatę, pośpieszną poprawkę, w której nie uwzględniono faktu, że należy sprawdzić również sąsiednie pola w plikach. Dzień po opublikowaniu łaty pojawiły się informacje o nowej luce. Jak na ironię liczne problemy w MS Office, szczególnie w aplikacji Excel, ujrzały światło dzienne niemal w tym samym czasie, gdy Google wprowadził swój własny arkusz kalkulacyjny.

Poniżej przedstawiono luki w produktach Microsoftu w porządku chronologicznym (według danych US-CERT).
• 03/14/2006 Microsoft Office routing slip buffer overflow
• 03/14/2006 Microsoft Excel malformed record memory corruption vulnerability
• 03/14/2006 Microsoft Excel fails to properly perform range validation when parsing document files
• 03/14/2006 Microsoft Excel malformed graphic memory corruption vulnerability
• 03/14/2006 Microsoft Excel malformed description memory corruption vulnerability
• 03/14/2006 Microsoft Excel malformed parsing format file memory corruption vulnerability
• 05/19/2006 Microsoft Word object pointer memory corruption vulnerability
• 06/13/2006 Microsoft PowerPoint malformed record vulnerability
• 06/16/2006 Microsoft Excel vulnerability

Największe zagrożenie przedstawiała luka zidentyfikowana 19 maja. Lukę ujawniono dopiero po odkryciu, że wykorzystujący ją program trojański został masowo rozesłany przy użyciu technik spamerskich. Oznaczało to kolejny przypadek, gdy twórcy wirusów wykorzystali lukę, o której nikt wcześniej nie wiedział - jest to tak zwany exploit "zero day". Takie luki są niezwykle niebezpieczne, ponieważ twórcy oprogramowania muszą poświęcać czas na rozwijanie i publikowanie łaty, pomimo tego, że złośliwy kod już krąży i rozprzestrzenia się poprzez Internet.

Opublikowanie łat na lukę MS06-027 (Word remote code execution) i MS06-028 (Powerpoint remote code execution) zajęło Mocrosoftowi prawie miesiąc. Naturalnie, użytkownicy przyzwyczaili się już do tego, że Microsoft z niemal fanatyczną dokładnością trzyma się ustalonego grafiku publikacji łat - łaty udostępniane są w drugi czwartek każdego miesiąca. Byłoby to całkiem rozsądne, gdyby dwa dni po opublikowaniu łat nie zidentyfikowano niemal identycznej luki w aplikacji MS Excel. Trudno wyjaśnić, dlaczego podczas opracowywania łaty nie sprawdzono, czy istnieje podobny problem w Excelu. Trzeciego czerwca pojawiły się dwie kolejne luki w MS Office - Microsoft Windows Hyperlink Object Library Buffer Overflow oraz Microsoft Excel 'Shockwave Flash Object'.