Microsoft wydał przed kilkoma dniami aktualizację z łatką bezpieczeństwa, która różni się od pozostałych. Jest ona adresowana do luki oznaczonej jako CVE-2017-11882 w pliku EQNEDT32.EXE. Był on dołączany do pakietu Office do roku 2007 i odpowiadał za funkcję edytora równań. Sposób załatania niewykrytej przez 17 lat (!) luki skłonił badaczy do podejrzeń, że Microsoft mógł utracić kod źródłowy jednego z komponentów Office.
Trupa w szafie Microsoftu odkryła kalifornijska firma Embedi, jednak to specjaliści bezpieczeństwa z 0patch zauważyli nietypowy sposób jego naprawy. Okazało się, że poprawiony plik EQNEDT32.EXE był prawie identyczny ze starą wersją, co mogłoby sugerować, że Microsoft ręcznie załatał plik EXE. Oczywiście rodzi to pytanie, dlaczego. I czy możliwe jest, że Microsoft utracił 17-letni kod źródłowy jednego ze swoich komponentów? Prawdopodobnie firma pokroju Microsoft nie zdecydowałaby się na takie posunięcie, chyba że zgubiłaby oryginalny kod i byłaby zmuszona ręcznie edytować i przekompilować binarkę.
0patch zidentyfikował ponadto kilka zmian, które nie wydają się być związane z CVE-2017-11882. "Uważamy, że Microsoft zauważył kilka dodatkowych wektorów ataku, które mogłyby powodować przepełnienie bufora, i postanowił je proaktywnie załatać. Zarządzanie oprogramowaniem w jego binarnej formie zamiast odbudowywania go ze zmodyfikowanego kodu źródłowego jest trudne. Możemy jedynie spekulować, dlaczego Microsoft wykorzystał binarne łatanie, ale jako że my sami łatamy binarki, uważamy, że wykonali świetną robotę" - napisał 0patch. Embedi z kolei poinformował, że luka umożliwiała stabilny atak exploitem na MS Office (2010, 2013, 2016) w Windows (7, 8.1. i 10).
Nie jest jasne, czy fragment kodu Office'a napisany u progu nowego milenium rzeczywiście przepadł w otchłań niebytu. Dzięki dostępnym informacjom możemy jedynie domniemywać, co mogło się stać. Tak czy inaczej pocieszający jest fakt, że Microsoft naprawił 17-letnią lukę w zabezpieczeniach, która - gdyby została odkryta przez tropicieli spod ciemnej gwiazdy - mogłaby posłużyć do ataku na użytkowników Windows.
341f31d.png)