"Faktem jest, że w MS Office jest mnóstwo błędów - przez ostatnie półtora roku wciąż słyszymy o nowych lukach związanych z dokumentami MS Office. Przestępcy wciąż próbują znajdować nowe luki - stosują do tego tzw. fuzzing, czyli technikę polegającą na automatycznym wrzucaniu do aplikacji różnych danych w nadziei, że wygeneruje to jakiś błąd" - mówi John Pescatore, główny specjalista ds. bezpieczeństwa firmy analitycznej Gartner.

Ta taktyka przynosi świetne wyniki - Microsoft wciąż jest informowany o nowych lukach związanych z formatami MS Office i wciąż musi je łatać (w tym miesiącu firma udostępniła poprawkę dla Publishera 2007, zaś miesiąc temu - siedem łatek dla Excela i dwie dla Worda). Z najnowszych doniesień wynika, że koncern z Redmond uznał, iż w tej sytuacji samo łatanie luk nie wystarczy - stąd decyzja o wprowadzeniu w MS Office 2010 dodatkowych zabezpieczeń przed atakami wykorzystującymi luki w Wordzie, Excelu czy PowerPoincie. "Komunikat Microsoftu jest taki: wygląda na to, że nie jesteśmy w stanie znaleźć i załatać tych wszystkich luk - dlatego zastosujemy sandbox. Dzięki temu nawet jeśli ktoś znajdzie kolejny błąd, to jego wykorzystanie do zaatakowania systemu będzie znacznie trudniejsze" - tłumaczy Pescatore.

Z informacji dostarczonych przez Brada Albrechta, program managera z działu Microsoft Office, wynika, że w kolejnym wydaniu pakietu (MS Office 2010) pojawi się funkcja o nazwie "Protected View" - dzięki niej potencjalnie niebezpieczne pliki będą otwierane w izolowanym środowisku, w trybie "tylko do odczytu". Dzięki temu dokument z osadzonym złośliwym kodem nie będzie w stanie wyrządzić w Windows większych szkód - ponieważ nie będzie on w stanie wydostać się poza "piaskownicę".

"To dobry pomysł - sandbox i izolowanie to zawsze skuteczne narzędzia zabezpieczające" - komentuje przedstawiciel Gartnera.

Albrecht wspomniał również o kilku innych nowych zabezpieczeniach, które pojawią się w kolejnym wydaniu MS Office - będzie to m.in. nowa, bardziej skuteczna wersja narzędzia do blokowania plików oraz funkcja o nazwie "Office File Validation" (pojawiło się ono w SP2 dla Publishera 2007 - teraz Microsoft chce, by funkcja ta występowała we wszystkich aplikacjach z rodziny Office).

Dzięki narzędziu do blokowania plików użytkownik (lub administrator) będzie mógł tak skonfigurować pakiet, by automatycznie blokowane były próby otwarcia plików o określonych rozszerzeniach lub właściwościach. Z kolei Office File Validation umożliwia automatyczne weryfikowanie dokumentów pod kątem zgodności z najnowszą wersją MS Office oraz zawartości (funkcja ta ma uniemożliwić otwieranie plików zawierających np. podejrzany kod).

John Pescatore zwraca też uwagę na to, że nowe zabezpieczenia mogą nieco irytować część użytkowników - otworzenie pliku w trybie "Protected View" co prawda zabezpieczy system przed atakakiem, ale jednocześnie uniemożliwi jego edytowanie. Jeśli użytkownik zechce dodać coś do dokumentu, będzie musiał pamiętać o uruchomieniu go w trybie edycji.

Jest też dodatkowa wada - zastosowanie sandboksu (czyli tak naprawdę bardzo "okrojonej" wirtualnej maszyny) jest dość "zasobożerne" - na wolniejszych komputerach z pewnością będzie to można odczuć. "Ale z drugiej strony - komputery są coraz bardziej wydajne, więc to nie powinien być duży problem" - tłumaczy specjalista. A Brad Albrecht zapewnia, że wprowadzenie nowych funkcji nie powinno spowodować zauważalnego obniżenia wydajności.