Kinukumpirma ng Microsoft ang Isa pang Zero-day Vulnerability

Nakumpirma ng Microsoft ang isa pang zero-day na kahinaan sa Lunes sa isang hanay ng mga sangkap ng software na nagpapadala sa maraming uri ng mga produkto ng kumpanya.

Ang kahinaan ay namamalagi sa Microsoft's Office Web Components, na ginagamit para sa pag-publish ng mga spreadsheet, mga tsart at mga database sa Web, bukod sa iba pang mga function.

"Sa partikular, ang kahinaan ay umiiral sa kontrol ng Spreadsheet ActiveX at habang nakikita lamang natin ang limitadong mga pag-atake, kung matagumpay na pinagsasamantalahan, ang isang magsasalakay ay maaaring makakuha ng parehong mga karapatan ng gumagamit tulad ng lokal na user, "sinulat Dave Forstrom, isang grupo ng manager na bahagi ng Security's Response Center ng Microsoft, sa isang post sa blog.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang kontrol ng ActiveX ay isang maliit na add-on na programa na gumagana sa isang Web browser upang mapadali ang mga pag-andar tulad ng pag-download ng mga programa o pag-update sa seguridad. Sa paglipas ng mga taon, gayunpaman, ang mga kontrol ay nahahadlangan sa mga kahinaan.

Ang bagong kapintasan ay dumating lamang isang araw bago ang kumpanya ay nakatakda upang palabasin ang mga buwanang patches nito, kabilang ang isa para sa isa pang zero-day na kahinaan na inihayag mas maaga sa buwang ito. Ang problemang iyan ay ang kontrol ng Video ActiveX sa loob ng Internet Explorer at kasalukuyang ginagamit ng mga hacker sa drive-by-download na mga pagtatangka.

Sa mga kaso ng mga mapanganib na mga kahinaan, ang Microsoft ay lumihis sa iskedyul ng pag-aayos nito at nagbigay ng isa sa cycle.

Sinabi ng Microsoft na ang kapintasan ay maaaring magpapahintulot sa isang magsasalakay na magsagawa ng code nang malayuan sa isang makina kung may gumagamit ng Internet Explorer na dumadalaw sa isang malisyosong Web site, isang pamamaraan ng pag-hack na kilala bilang isang drive-by download. Ang mga web site na nagho-host ng nilalaman o mga advertisement na ibinigay ng user ay maaaring ma-rigged upang samantalahin ang kahinaan.

"Sa lahat ng mga kaso, gayunpaman, ang isang magsasalakay ay walang paraan upang pilitin ang mga gumagamit na bisitahin ang mga Web site na ito," sinabi ng advisory. "Sa halip, ang isang magsasalakay ay kailangang hikayatin ang mga gumagamit na bisitahin ang Web site, karaniwan sa pamamagitan ng pagkuha sa kanila na mag-click ng isang link sa isang mensaheng e-mail o Mensaheng Instant Messenger na tumatagal ng mga gumagamit sa Web site ng magsasalakay."

Nagbigay ang Microsoft ng isang listahan ng mga apektadong software, na kinabibilangan ng Office XP Service Pack 3, 2003 Service Pack 3, maraming bersyon ng Internet Security at Acceleration Server at Office Small Business Accounting 2006, bukod sa iba pa.

Hanggang sa isang patch ay handa na, sinabi ng Microsoft ang isang opsyon para sa ang mga administrador ay upang huwag paganahin ang Mga Web Component ng Office mula sa pagpapatakbo sa Internet Explorer at nagbigay ng mga tagubilin.