Microsoft heeft deze week nagelaten een kritiek beveiligingslek in Mac Office 2004 en 2008 te dichten. Alleen voor de gloednieuwe versie 2011 en voor de Windows-versies zijn patches uitgebracht.

Afgelopen dinsdag, op ‘Patch Tuesday’, verspreidde Microsoft zijn maandelijkse dosis beveiligingsupdates voor diverse producten. Daarbij zat onder andere patches voor een kwetsbaarheid in het Office-onderdeel Outlook in combinatie met Word. Zonder actieve tussenkomst van de gebruiker kan diens pc met malware worden besmet door het bekijken van een preview (voorvertoning) van een mailtje met een kwaadaardig RTF-document.

In eerste instantie gaf Microsoft geen verklaring voor het uitblijven van een patch voor de oudere versies van Office voor de Mac. Die uitleg volgde een dag later, meldt Computerworld. Volgens Jerry Bryant, manager van het Microsoft Security Response Center (MSRC), waren de updates voor Mac Office 2004 en 2008 "niet klaar waren voor brede distributie op hetzelfde moment als de updates voor de betrokken producten die door de overgrote meerderheid van onze klanten worden gebruikt".

Met die 'overgrote meerderheid' doelt Bryant op de gebruikers van de Windows-versies van Microsoft Office. Hij voegt eraan toe dat Mac Office-gebruikers minder kwetsbaar zijn voor 'exploits' dan gebruikers van de Windowsversies, omdat ze een mailtje met RTF-bijlage eerst zelf moeten openklikken voordat hun Mac wordt geïnfecteerd. Overigens bevatten de oudere versies van Office for Mac als mailclient niet Outlook maar Entourage.

In theorie zouden kwaadwillenden uit de dinsdag wel gepubliceerde patches informatie kunnen halen om een aanval op Mac Office 2004 en 2008 op te zetten, zolang die producten niet zijn beschermd. Volgens een door Computerworld geraadpleegde expert is deze vorm van 'reverse engineering' in het geval van Office echter een zware klus. De reden is dat Microsoft de patches voor dit product niet in de vorm van relatief kleine DLL-bestanden verspreidt maar als een omvangrijke ‘executable’ die ettelijke wijzigingen kan bevatten.

Wanneer de patches voor de vorige Mac Office-versies alsnog beschikbaar komen, kan Bryant niet precies zeggen. Hij verwacht dat Microsoft ze zal leveren in een van de volgende reguliere updatecycli op de tweede dinsdag van de maand. Dat is dus op zijn vroegst op 14 december.