A Microsoft csütörtökön végre közzétette weboldalán két, termékeiben már hónapokkal ezelőtt felfedezett sebezhetőséget javító foltját. Az első több, mint egy hónappal ezelőtt felfedezett biztonsági hiba révén bizalmas információkat tartalmazó dokumentumok szivárogatathatók ki az Office alkalmazást futtató gépeken, míg a második sebezhetőség révén "csak" tetszőleges fájlok törlésére nyílik mód az áldozatok gépén.

A Microsoft Excel és Word alkalmazásaiban még szeptember közepén felfedezett, a dokumentumokba befűzhető, automatikusan frissülő mezőkkel kapcsolatos első sebezhetőség révén az áldozat gépén tárolt tetszőleges fájlok szerezhetők meg. A sebezhetőség a Word INCLUDETEXT nevű rejtett mezőjét használja fel egy az Office felhasználó gépén tárolt fájl automatikus dokumentumba fűzéséhez annak megnyitásakor. A fájl megszerzéséhez a támadónak pontosan ismernie annak lokális elérési útját a támadó gépén, és valamilyen módon rá kell vennie a szövegszerkesztőt futtató személyt, hogy küldje részére vissza a "lopós" dokumentumot.

A másik, már lassan két hónapja felfedezett sebezhetőség ezzel szemben nem információk megszerzését, hanem a már meglévők törlését teszi lehetővé. A Windows XP-vel szállított Internet Explorer 'Help and Support Center' (HCP) protokoll-kezelőjéből hiányzó megfelelő biztonsági ellenőrzések miatt külső támadók is rendkívül egyszerű módon, mindössze egy weboldalba ágyazott link segítségével rávehetik a böngészőt tetszőleges fájlok törlésére a felhasználó merevlemezén. Az eredetileg a Microsoft az ügyfélszolgálat munkájának elősegítése érdekében létrehozott kiegészítés így könnyűszerrel felhasználható a rendszer tönkretételére is. Ezt a sebezhetőséget egyébként a Microsoft "titokban" az XP SP1 révén már befoltozta, így az azzal rendelkező gépek e hiba által már nem sebezhetőek.

A két sebezhetőséggel kapcsolatos további információk az MS02-59, illetve MS02-60 biztonsági értesítőkben olvashatók, ahol természetesen a javítócsomagokra mutató linkek is megtalálhatók.