Een aanvaller zou het lek bijvoorbeeld kunnen misbruiken door zijn slachtoffer via een mailtje of een instant messaging (im) bericht naar een site te lokken met daarop een speciaal geprepareerd Word-bestand, zo stelt het bedrijf in een vrijdag gepubliceerde security advisory. Op het McAfee Avert Labs Blog staat een alternatief aanvalsscenario.

Volgens Microsoft is er een 'zeer beperkt aantal, gerichte aanvallen' bekend waarbij gebruik wordt gemaakt van de kwetsbaarheid. "Bij de huidige aanvallen is het nodig dat gebruikers verscheidene acties uitvoeren. We denken dat het risico beperkt is", stelt Microsoft. Een aanvaller die het lek met succes zou weten te misbruiken, zou dezelfde rechten krijgen als de getroffen gebruiker.

Gebruikers van Windows Server 2003 Service Pack 2, Windows Vista en Windows Vista Service Pack 1 hoeven zich geen zorgen te maken over de kwetsbaarheid. Die Windows-systemen bevatten een versie van de Microsoft Jet Database Engine die niet kwetsbaar is.

Als Microsoft het onderzoek heeft afgerond, zal het bedrijf met een patch voor het lek komen. Het is nog onduidelijk of de reparatiesoftware via de maandelijkse patch-cyclus zal worden aangeboden of via een speciale security update.