Мне понравился
комментарий к
одной из таких уязвимостей:
Главная проблема здесь в том, что нечего превращать текстовый процессор в среду разработки, иначе вот такие "уязвимости" будут не просто ожидаемы, а закономерны. Добавили возможность выполнения кода, и оказалось, что может быть выполнен вредоносный код. Серьезно? А какой результат они ожидали? Это уже даже не peшeто, это дуршлаг.
Процитирован бессмысленный комментарий с опеннета: он с одной стороны сообщает очевидное (при наличии возможности выполнения кода будут уязвимости в этом компоненте), а с другой - призывает к глупости ("этой функции не должно быть"). В принципе, если он прав, надо отказаться от компьютеров (всех вообще) по той же причине. И ДВС надо отменить. И колесо с бумагой. (И ДНК.)
Вопрос в ожиданиях. Если такие уязвимости воспринимать каждый раз как неожиданность, и хвататься за сердце с криком "ужас! ужас!" - тогда да, тогда лучше оставаться в
детском садупесочнице. А если осознавать, что мы живём в реальном мире, то понятно, что мы всегда, в каждом нашем шаге, балансируем между опасностями (известными и неизвестными) и возможностями. Люди *хотят* иметь возможность гибко работать с информацией, находящейся в их документах. Надо только, чтобы люди осознали неизбежность компромиссов.
Кстати, первая процитированная уязвимость не имеет ничего общего с макросами, и показывает, что отказ от "превращения текстового процессора в среду разработки" не создаст мир во всём мире.