• Tweet

Las fallas en Word 2007 consideradas como vulnerabilidades de seguridad por un investigador israelí no son nada comento Microsoft. En vez de eso, los reportes de fallas del cierre en la aplicación son debido al diseño.

El investigador que proporciono detalles de estos fallos esta semana, mostró pantallas de Word cerrandose repentinamente y preguntándose porqué Microsoft no acepta sus resultados.

El lunes, Mati Aharoni de Offensive Security advirtió de tres nuevos fallos en Word 2007 en el sitio de seguridad de Milw0rm y en SecurityVulns.com, y publicó pruebas de concepto de Word como prueba de las fallas que presenta. Microsoft, sin embargo, se mostraba sin preocupación alguna.

El miércoles, una portavoz de la compañía de investigación de Microsoft de seguridad del centro de respuesta (MSRC) menciono, "se ha encontrado que ninguno de estos problemas demuestran una vulnerabilidad en Word 2007 o cualquier componente de la suite de oficina de Microsoft."

Cuando se le cuestiono que clarificara el estado, reconoció que Microsoft no clasificará las fallas como problemas de seguridad. El comportamiento de Word 2007 es una característica, no una falla. "De hecho, el comportamiento observado en Word 2007 de Microsoft en este caso es por el diseño del comportamiento que mejora la seguridad y la estabilidad de Microsoft," dijo la portavoz .

Sugirió que las fallas no son ningún problema grande si Word 2007 falla bajo alguna de esas circunstancias, es un panorama que podría conducir a la pérdida de cualquier dato que no se haya guardado. "el código que se muestra en los posts [ de Aharoni 's] hace a Word 2007 de Microsoft fallar, y los usuarios deban reiniciar la aplicación para reanudar operaciones normales."

El cierre significa que se tiene una mala programación, malos programadores, ninguna vulnerabilidad, "dijo LeBlanc en un blog de MSDN. "Sin embargo, el tener un programa que falla puede ser los problemas menos graves en muchos lugares. La teoría es que, es mejor que falle, por lo menos con las aplicaciones del cliente, que llegue a funcionar el código de individuo malicioso."

La suite de oficina 2007 utiliza esta estrategia, dijo LeBlanc, que, como el MSRC, se opuso a clasificar a este ataque como negación de servicio. "Realmente tomo la edición con los que caracterizarían un desplome del lado del cliente como negación del servicio," dijo. "si usted puede hacer fallar mi aplicación de modo que no pueda reiniciarlo, ni tenga que reanudar mi sistema, bien, muy bien, que es un DOS.