Η Microsoft επιβεβαιώνει ένα άλλο θέμα ευπάθειας

Η Microsoft επιβεβαίωσε άλλη ευπάθεια μηδενικής ημέρας τη Δευτέρα σε ένα σύνολο στοιχείων λογισμικού που μεταφέρονται σε μεγάλη ποικιλία από προϊόντα της εταιρείας.

Η ευπάθεια βρίσκεται στα Office Web Components της Microsoft, τα οποία χρησιμοποιούνται για τη δημοσίευση υπολογιστικών φύλλων, διαγράμματα και βάσεις δεδομένων στον ιστό, μεταξύ άλλων λειτουργιών. Η εταιρεία εργάζεται σε μια ενημερωμένη έκδοση κώδικα, αλλά δεν έδειξε πότε θα κυκλοφορήσει, σύμφωνα με συμβουλευτικό κείμενο.

"Συγκεκριμένα, η ευπάθεια υπάρχει στον έλεγχο του Spreadsheet ActiveX και ενώ έχουμε δει μόνο περιορισμένες επιθέσεις, ένας εισβολέας θα μπορούσε να αποκτήσει τα ίδια δικαιώματα χρήσης με τον τοπικό χρήστη ", γράφει ο Dave Forstrom, διευθυντής ομάδας που ανήκει στο Κέντρο αντιμετώπισης προβλημάτων της Microsoft, σε μια θέση blog.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον υπολογιστή σας των Windows]

Ένα στοιχείο ελέγχου ActiveX είναι ένα μικρό πρόσθετο πρόγραμμα που λειτουργεί σε ένα πρόγραμμα περιήγησης στο Web για να διευκολύνει λειτουργίες όπως η λήψη προγραμμάτων ή ενημερώσεων ασφαλείας. Τα νέα στοιχεία έρχονται μόλις μια ημέρα πριν η εταιρεία τεθεί για να απελευθερώσει τα μηνιαία μπαλώματα της, συμπεριλαμβανομένου ενός για άλλη ευαισθησία μηδενικής ημέρας που αποκαλύφθηκε νωρίτερα αυτό το μήνα. Το πρόβλημα αυτό έγκειται στο στοιχείο ελέγχου ActiveX του βίντεο στον Internet Explorer και χρησιμοποιείται αυτή τη στιγμή από τους χάκερ σε προσπάθειες μεταφόρτωσης.

Σε περιπτώσεις ιδιαίτερα επικίνδυνων τρωτών σημείων, η Microsoft έχει αποκλίνει από το πρόγραμμα επιδιόρθωσης και έχει εκδώσει έναν εκτός κύκλου.

Η Microsoft δήλωσε ότι το ελάττωμα θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει τον κώδικα εξ αποστάσεως σε ένα μηχάνημα, αν κάποιος που χρησιμοποιεί τον Internet Explorer επισκέπτεται μια κακόβουλη τοποθεσία Web, μια τεχνική hacking γνωστή ως download-drive. Οι ιστότοποι που φιλοξενούν περιεχόμενο ή διαφημίσεις που παρέχονται από το χρήστη, θα μπορούσαν να εξαντληθούν για να επωφεληθούν από την ευπάθεια.

"Αντίθετα, ένας εισβολέας θα πρέπει να πείσει τους χρήστες να επισκεφτούν τον ιστότοπο, συνήθως κάνοντας τους να κάνουν κλικ σε ένα σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή σε ένα μήνυμα Instant Messenger που οδηγεί τους χρήστες στον ιστότοπο του εισβολέα."

Η Microsoft εξέδωσε η οποία περιλαμβάνει το Office XP Service Pack 3, το 2003 Service Pack 3, διάφορες εκδόσεις του Internet Security and Acceleration Server και του Office Small Business Accounting 2006.

Μέχρι να είναι έτοιμη μια ενημερωμένη έκδοση κώδικα, η Microsoft δήλωσε μια επιλογή για των διαχειριστών είναι να απενεργοποιήσετε το Office Web Components να εκτελούνται στον Internet Explorer και έχει δώσει οδηγίες