Uma onda de ataques contra o Office 2003 no último ano fez com que a Microsoft agisse de forma agressiva em relação à segurança da suíte. "Quando o Office 2003 saiu, pensamos que tínhamos realizado um bom trabalho em relação à segurança", afirmou David LeBlanc, engenheiro sênior de desenvolvimento do time do Office. "Nos primeiros dois anos de mercado do Office 2003, houveram apenas duas vulnerabilidades, mas então os hackers mudaram suas táticas e começaram a encontrar problemas em uma velocidade alarmante".
LeBlanc, um dos apoiadores da iniciativa SDL (Ciclo de Vida de Desenvolvimento Seguro) dentro da Microsoft, e Michael Howard, co-autor do livro "Criando Códigos Seguros para o Windows Vista", se referem aos ataques em 2006 que exploraram várias falhas nos formatos de arquivos do Office 2003.
Os ataques não apenas resultaram no lançamento de atualizações e do Office 2003 SP3, mas também levaram a Microsoft a aumentar as iniciativas de localização de falhas antes do lançamento de seus produtos. "Entendemos que as ferramentas de fuzzing precisavam ser mais usadas", afirmou LeBlanc. "Já usamos o recurso, mas percebemos que o mesmo precisava ser mais eficiente".
"Fuzzing" é um processo usado por pesquisadores de segurança para encontrar falhas em softwares antes de disponibilizá-los publicamente. As ferramentas de fuzzing fazem vários testes nos componentes de um programa para localizar alguma vulnerabilidade. LeBlanc classifica o procedimento de "exercitar o código".
Mais informações: InfoWorld
