Как известно, официальная поддержка ОС Windows XP заканчивается 8 апреля 2014 г., но надо также помнить, что в тот же день выйдут последние патчи для другого крайне популярного продукта Microsoft — офисного пакета Office 2003. Microsoft разместила на своём сайте предупреждение для пользователей этого пакета с призывом к скорейшему обновлению до свежих версий Office — Office 365 или Office 2013.
Office 2003 продолжает пользоваться немалой популярностью не в последнюю очередь по той же причине, что Windows XP — это функционально выверенный продукт, на момент выхода предлагавший пользователям всё то, в чём они нуждались, считает Ларри Зельцер из ZDNet. Однако в Office 2003 не было уделено достаточно внимания обеспечению безопасности, что оказало существенное влияние на дальнейшую разработку продуктов Office и привело к появлению новых файловых форматов.
Устаревшие форматы файлов (DOC, XLS, PPT и др.) были основаны на методе форматирования в виде структурированных хранилищ под названием OLE. Эта технология позволяла связывать и внедрять объекты в другие документы и объекты, но работала по столь сложной схеме, что пользователи регулярно сталкивались с неверно сформированными файлами данных, а также с разного рода уязвимостями. Проведя работу над ошибками, разработчики Office пришли к выводу, что взамен поддержки совместимости старых форматов файлов проще разработать новый — им стал формат XML, впрочем, Microsoft сохранила поддержку устаревших форматов файлов, но для повышения безопасности компания разработала специальный метод их открытия в “песочнице”.
Если взглянуть на историю обнаружения уязвимостей Office 2003, то можно заметить, что их количество в устаревших форматах файлов не уменьшается, в то время как в новых форматах их гораздо меньше. Microsoft даже выпустила специальное обновление для обмена файлами между Office 2003 и Office 2007/2010, позволившее владельцам Office 2003 получить доступ к новым форматам файлов. Впоследствии оказалось, что проблема совместимости форматов файлов оказалась не единственной. Так, далеко не всем пользователям понравились ленточный (ribbon) интерфейс Office 2007 и переход на новые форматы DOCX, XLSX, PPTX и пр.
Неудивительно, что у многих возникли ассоциации с Windows Vista, заработавшей себе негативную репутацию из-за плохой поддержки драйверов, и значительное число пользователей Office 2003 проигнорировало обновление до Office 2007.
В результате, Office 2003 как был достаточно хорош для многих людей, таким он и остаётся. За исключением проблем с безопасностью. За последний год для Office 2003 SP3 (последний пакет обновления) было выпущено 10 бюллетеней безопасности, закрывающих найденные уязвимости, в том числе пять критических. Отметим, что даже некритические уязвимости позволяют выполнять удаленное выполнение кода. Microsoft удалось разве что уменьшить уровень опасности, добавив в офисный пакет опцию предостережения пользователя перед открытием потенциально опасных файлов.
Очевидно, что начиная с 9 апреля 2014 г. для Office 2003, как и для Windows XP, будут появляться всё новые и новые уязвимости, которые Microsoft уже закрывать не будет. По слухам, хакеры уже создают рынок таких уязвимостей, где стоимость некоторых из них будет достигать многих тысяч долл