Microsoft potwierdza kolejną lukę zero-dniową

Microsoft potwierdził w poniedziałek kolejną lukę zero-day w zestawie składników oprogramowania, które są dostarczane w szerokiej gamie produktów firmy.

Luka w zabezpieczeniach dotyczy składników Office Web Components firmy Microsoft, które są używane do publikowania arkuszy kalkulacyjnych, wykresy i bazy danych w Internecie, wśród innych funkcji. Firma pracuje nad poprawką, ale nie wskazała, kiedy zostanie wydana, zgodnie z zaleceniem.

"W szczególności luka istnieje w formancie ActiveX Spreadsheet i podczas gdy widzieliśmy tylko ograniczone ataki, jeśli zostały pomyślnie wykorzystane, osoba atakująca może uzyskać takie same uprawnienia, jak użytkownik lokalny "- napisał Dave Forstrom, menedżer grupy, który jest częścią Centrum Bezpieczeństwa firmy Microsoft w poście na blogu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Formant ActiveX to mały program dodatkowy, który działa w przeglądarce internetowej, aby ułatwić funkcje takie jak pobieranie programów lub aktualizacje zabezpieczeń. Z biegiem lat kontrole podatne były jednak na luki.

Nowa luka pojawia się zaledwie na dzień przed wydaniem przez firmę swoich comiesięcznych łat, w tym na kolejną lukę w luki zero-dni ujawnioną na początku tego miesiąca. Ten problem dotyczy kontrolki Video ActiveX w Internet Explorerze i jest obecnie wykorzystywany przez hakerów podczas prób pobrania dysku.

W przypadku szczególnie niebezpiecznych luk Microsoft odstąpił od harmonogramu aktualizacji i wydał jeden z cyklu.

Microsoft powiedział, że usterka może pozwolić osobie atakującej na zdalne wykonanie kodu na komputerze, jeśli ktoś używający Internet Explorera odwiedza złośliwą witrynę sieci Web, technikę hakerską znaną jako "drive-by download". Strony internetowe zawierające treści lub reklamy dostarczane przez użytkowników mogą zostać sfałszowane, aby wykorzystać tę lukę.

"W każdym przypadku atakujący nie byłby w stanie zmusić użytkowników do odwiedzenia tych stron internetowych" - powiedział doradca. "Zamiast tego osoba atakująca musiałaby przekonać użytkowników do odwiedzenia witryny sieci Web, zazwyczaj poprzez kliknięcie łącza w wiadomości e-mail lub wiadomości błyskawicznej, która przenosi użytkowników do witryny internetowej atakującego."

Firma Microsoft wydała lista oprogramowania, którego dotyczy luka, w tym Office XP Service Pack 3, 2003 Service Pack 3, kilka wersji Internet Security and Acceleration Server oraz Office Small Business Accounting 2006.

Do czasu, aż łatka będzie gotowa, Microsoft powiedział jedną opcję administratorzy wyłączają składniki Office Web Components w programie Internet Explorer i dostarczają instrukcje.