Ifølge en sikkerhedsadvarsel fra Microsoft er der sårbarheder i Office Web Components, som er et sæt ActiveX-kontroller til at publicere Office-indhold til nettet og vise indholdet i Internet Explorer. Sårbarheden er i ActiveX-kontrollen der viser Excel spreadsheets indeni Internet Explorer.
Kritisk sårbarhed
Microsoft har selv klassificeret sårbarheden som en kritisk trussel. Hvis en bruger besøger et websted, som indeholder exploit-kode, kan sårbarheden udnyttes til at installere ondsindede programmer på den sårbare pc.
"Sårbarheden kan udnyttes til remote kodeeksekvering i et 'browse and get owned'-scenarie," siger Fermin Serna fra Microsoft Security Response Center (MSRC) i et blogindlæg.
Sådan kan sårbarheden undgås
Ifølge Microsoft udnyttes sårbarheden allerede nu af hackere på nettet..
Brugere som anvender ikke-Microsoft browsere som Mozilla's Firefox eller Google's Chrome er ikke i risikozonen, da de ikke understøtter ActiveX.
Brugere af Office 2007 er ikke umiddelbart sårbare, men kan være det, hvis de har downloaded og installeret Office Web Components 11, versionen som normalt kommer med Office 2003.
Indtil en patch er klar, kan brugere beskytte dem selv ved at sætte to "kill bits", der blokerer Office Web Components for at køre i Internet Explorer.
Det kræver imidlertidig at man skal editere i Windows registry, så Microsoft har udviklet et automatisk værktøj; "Fix it" tool, der kan downloades fra Microsoft's support site.
Rettelse ikke med i seneste sikkerhedsopdatering
I går udsendte Microsoft sin seneste sikkerhedsopdatering.
Selvom sikkerhedsopdateringen indeholder patches til ActiveX-sårbarheder er der ikke en patch til den seneste erkendte sårbarhed i Office Web Components.
