Компьюлента. 12 января 2004 года, 12:57
В начале января независимые специалисты по безопасности обнаружили уязвимость в текстовом процессоре Microsoft Word. Как оказалось, встроенная в этот пакет система защиты форм с помощью паролей обходится с помощью достаточно несложных манипуляций.
Как правило, указанная система защиты используется, для того чтобы предотвратить изменение данных в форме или защитить информацию от случайного изменения. Иногда система защиты используется даже для закрытия доступа к документам, не имеющим полей форм. Как оказалось, такая защита не может считаться надежной.
Для ее обхода нужно сохранить документ в формате HTML. В этом случае контрольная сумма пароля в зашифрованном виде будет помещена в файл и отмечена особым тэгом, который воспринимается только Word. Контрольная сумма представляет собой шестнадцатеричное число. Если контрольную сумму заменить с помощью любого редактора на определенную числовую последовательность, то пароль будет обнулен.
Указанная проблема актуальна для Word 2000, XP (2002) и 2003. Возможно, уязвимы и версии для Macintosh, хотя их тестирование не проводилось. Microsoft уже извещена о проблеме. В компании проводят изучение уязвимости, но подчеркивают, что система защиты форм никогда не позиционировалась как абсолютно надежная.