Microsoft laat lek in oude Mac Office zitten

In eerste instantie gaf Microsoft geen verklaring voor het uitblijven van een patch voor de oudere versies van Office voor de Mac. Die uitleg volgde een dag later, meldt Computerworld. Volgens Jerry Bryant, manager van het Microsoft Security Response Center (MSRC), waren de updates voor Mac Office 2004 en 2008 "niet klaar waren voor brede distributie op hetzelfde moment als de updates voor de betrokken producten die door de overgrote meerderheid van onze klanten worden gebruikt".

Met die 'overgrote meerderheid' doelt Bryant op de gebruikers van de Windows-versies van Microsoft Office. Hij voegt eraan toe dat Mac Office-gebruikers minder kwetsbaar zijn voor 'exploits' dan gebruikers van de Windowsversies, omdat ze een mailtje met RTF-bijlage eerst zelf moeten openklikken voordat hun Mac wordt geïnfecteerd. Overigens bevatten de oudere versies van Office for Mac als mailclient niet Outlook maar Entourage.

In theorie zouden kwaadwillenden uit de dinsdag wel gepubliceerde patches informatie kunnen halen om een aanval op Mac Office 2004 en 2008 op te zetten, zolang die producten niet zijn beschermd. Volgens een door Computerworld geraadpleegde expert is deze vorm van 'reverse engineering' in het geval van Office echter een zware klus. De reden is dat Microsoft de patches voor dit product niet in de vorm van relatief kleine DLL-bestanden verspreidt maar als een omvangrijke ‘executable’ die ettelijke wijzigingen kan bevatten.

Wanneer de patches voor de vorige Mac Office-versies alsnog beschikbaar komen, kan Bryant niet precies zeggen. Hij verwacht dat Microsoft ze zal leveren in een van de volgende reguliere updatecycli op de tweede dinsdag van de maand. Dat is dus op zijn vroegst op 14 december.