Microsoft confirmă o altă vulnerabilitate Zero-zi

Microsoft a confirmat o altă vulnerabilitate zero în ziua de luni într-un set de componente software care se livrează într-o gamă largă de produse ale companiei.

Vulnerabilitatea se găsește în Microsoft Office Web Components, care sunt utilizate pentru publicarea de foi de calcul, diagrame și baze de date pe Web, printre alte funcții. Compania lucreaza la un patch, dar nu a indicat cand va fi lansat, conform unui sfat.

"In mod specific, vulnerabilitatea exista in controlul Spreadsheet ActiveX si in timp ce am vazut doar atacuri limitate, daca a fost exploatat cu succes, un atacator ar putea obține aceleași drepturi de utilizator ca și utilizatorul local ", a scris Dave Forstrom, manager de grup care face parte din Centrul de Răspuns la Securitate al Microsoft, într-un post pe blog.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Un control ActiveX este un mic program de completare care funcționează într-un browser Web pentru a facilita funcții cum ar fi descărcarea de programe sau actualizările de securitate. De-a lungul anilor, controalele au fost predispuse la vulnerabilități.

Noul defect vine doar cu o zi înainte ca compania să-și elibereze plasturile lunare, inclusiv una pentru o altă vulnerabilitate zero, dezvăluită la începutul acestei luni. Această problemă constă în controlul Video ActiveX în cadrul Internet Explorer și este utilizat în prezent de către hackeri în încercări de descărcare prin intermediul unui dispozitiv.

În cazurile de vulnerabilități deosebit de periculoase, Microsoft sa abătut de la planul de repartizare și a emis unul din cicluri.

Microsoft a spus că defectul ar putea permite unui atacator să execute codul de la distanță pe o mașină dacă cineva care utilizează Internet Explorer vizitează un site Web rău intenționat, o tehnică de hacking cunoscut sub numele de descărcare prin intermediul unui drive-by. Site-urile web care găzduiesc conținut sau reclame furnizate de utilizatori ar putea fi amenințate pentru a profita de vulnerabilitate.

"În toate cazurile, însă, un atacator nu ar avea nici o posibilitate de a forța utilizatorii să viziteze aceste site-uri Web", a spus consilierul. "În schimb, un atacator ar trebui să-i convingă pe utilizatori să viziteze site-ul Web, în ​​mod obișnuit făcându-i să facă clic pe un link dintr-un mesaj de poștă electronică sau din mesajul Instant Messenger care duce utilizatorii la site-ul Web al atacatorului."

lista de software afectat, care include Office XP Service Pack 3, 2003 Service Pack 3, mai multe versiuni de Internet Security and Acceleration Server și Office Small Business Accounting 2006, printre altele.

Până când un patch este gata, Microsoft a spus o opțiune pentru administratorii trebuie să dezactiveze funcționarea Office Web Components din Internet Explorer și a furnizat instrucțiuni.