Nok et kritisk hull fra Microsoft

Nok et kritisk hull fra Microsoft

Et kritisk "zero day"-hull i ActiveX er funnet, kort tid etter et liknende i samme system.

Det er ikke lenge siden Microsoft bekreftet et hull i ActiveX som kan ramme Internet Explorer-brukere kraftig.

Nå har de blitt gjort oppmerksom på nok et hull i deres ActiveX. Også dette er såkalt "zero day", det vil si at hackere har misbrukt hullet uten at Microsoft har vært oppmerksom på det.

Hullet, som blir det tredje av dette slaget på to måneder, rammer Internet Explorer-brukere som benytter seg av Office Web-komponenter. De brukes til å vise Office-innhold i nettleseren.

Jobber med oppdatering

Microsoft har gitt ut en Microsoft Security Advisory 973472 som advarer om hullet, og de omtaler det som kritisk. Om hackere utnytter svakheten, kan de få like mye rettigheter på maskinen din som en lokal bruker. Det skal ha vært relativt få angrep hittil.

- Vi ser på saken og jobber med en sikkerhetsoppdatering, forsikrer Dave Forstrom i Microsoft på Microsoft Security Response Center sin blogg.

Innen oppdateringen kommer, kan man styre unna problemet ved å blokkere komponentene i IE. De har laget et verktøy som fikler med registeret for deg, for å få til dette.

Ofrene

Produktene som rammes av hullet er Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 3, Microsoft Office XP Web Components Service Pack 3, Microsoft Office Web Components 2003 Service Pack 3, Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1, Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2006, Internet Security and Acceleration Server 2006 Supportability Update, Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 og Microsoft Office Small Business Accounting 2006.

Brukere av Office 2007 skal være trygge, om de ikke har manuelt lastet ned Office Web Components 11, som vanligvis kommer med Office 2003.