Microsoft bestätigt eine weitere Zero-Day-Sicherheitsanfälligkeit

Microsoft hat am Montag in einer Reihe von Softwarekomponenten, die in einer Vielzahl von Produkten des Unternehmens ausgeliefert werden, eine weitere Zero-Day-Schwachstelle festgestellt.

Die Sicherheitslücke liegt in Microsoft Office Web Components, die für die Veröffentlichung von Tabellen verwendet werden, Diagramme und Datenbanken zum Web, neben anderen Funktionen. Das Unternehmen arbeitet an einem Patch, gab jedoch gemäß einer Empfehlung keinen Hinweis darauf, wann es veröffentlicht werden würde.

"Die Sicherheitsanfälligkeit besteht insbesondere im Spreadsheet-ActiveX-Steuerelement und während wir nur begrenzte Angriffe gesehen haben, Ein Angreifer könnte die gleichen Benutzerrechte erhalten wie der lokale Benutzer ", schrieb Dave Forstrom, ein Gruppenmanager des Security Response Centers von Microsoft, in einem Blogbeitrag.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Ein ActiveX-Steuerelement ist ein kleines Zusatzprogramm, das in einem Webbrowser funktioniert, um Funktionen wie das Herunterladen von Programmen oder Sicherheitsupdates zu erleichtern. Im Laufe der Jahre waren die Kontrollen jedoch anfällig für Schwachstellen.

Der neue Fehler kommt nur einen Tag bevor das Unternehmen seine monatlichen Patches veröffentlichen wird, einschließlich eines für eine weitere Zero-Day-Schwachstelle, die Anfang des Monats entdeckt wurde. Dieses Problem liegt beim Video ActiveX-Steuerelement im Internet Explorer und wird derzeit von Hackern bei Drive-by-Download-Versuchen verwendet.

Bei besonders gefährlichen Sicherheitsanfälligkeiten hat Microsoft von seinem Patch-Zeitplan abgewichen und einen aus dem Zyklus herausgenommen

Microsoft sagte, dass der Fehler es einem Angreifer ermöglichen könnte, Code remote auf einem Computer auszuführen, wenn jemand, der Internet Explorer verwendet, eine bösartige Website besucht, eine Hacking-Technik, die als Drive-by-Download bezeichnet wird. Websites, die von Benutzern bereitgestellte Inhalte oder Ankündigungen hosten, könnten manipuliert werden, um die Schwachstelle auszunutzen.

"In jedem Fall hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zum Besuch dieser Websites zu zwingen", heißt es in dem Advisory. "Stattdessen muss ein Angreifer Benutzer dazu verleiten, die Website zu besuchen, indem er normalerweise auf einen Link in einer E-Mail-Nachricht oder Instant Messenger-Nachricht klickt, die Benutzer zur Website des Angreifers führt."

Microsoft hat a Liste der betroffenen Software, die ua Office XP Service Pack 3, 2003 Service Pack 3, verschiedene Versionen von Internet Security und Acceleration Server und Office Small Business Accounting 2006 enthält.

Bis ein Patch bereit ist, hat Microsoft eine Option für Administratoren deaktivieren Office Web Components in Internet Explorer und hat Anweisungen zur Verfügung gestellt.