Сотрудники Сингапурского института связи обнаружили очень опасную уязвимость в различных версиях пакета программ Microsoft Office. Проблема связана с особенностями методики шифрования документов, реализованной в текстовом редакторе Word и электронной таблице Excel.
Как сообщается, Word и Excel при применении криптографического алгоритма RC4 с длиной ключа 128 бит во время повторного сохранения файла используют одни и те же параметры инициализации шифрования для разных вариантов документа с идентичными паролями. Для обеспечения же должного уровня безопасности при идентичных паролях для различных версий одного и того же файла должны устанавливаться различные параметры инициализации.
Теоретически, используя дыру, злоумышленники могут получить несанкционированный доступ к зашифрованной информации. В качестве примера эксперты института приводят случай, когда два сотрудника последовательно редактируют один документ. Применяя математическую функцию "исключающее ИЛИ" (XOR) к двум вариантам файла, сингапурские исследователи смогли извлечь массу сведений, которые в нормальной ситуации должны быть зашифрованы.
Кроме того, экспертам удалось установить, что два документа Word или Excel, отличающиеся одним словом, имеют идентичные двоичные выходные данные, за исключением адресного пространства, соответствующего измененному тексту. Ситуация ухудшается еще и тем, что брешь присутствует во всех распространенных версиях Microsoft Office. Комментариев со стороны представителей софтверного гиганта относительно уязвимости пока не последовало, сообщает Infoworld.
|
Делать добро так просто!
