Het lek zou zitten in oudere versies van het spreadsheetonderdeel van de Office suite, namelijk Excel 2003 met SP2, Excel Viewer 2003, Excel 2002, Excel 2000 en Excel 2004 voor de Mac. In de security advisory schrijft het bedrijf geen signalen te hebben ontvangen dat het lek ook zit in 2003 SP3, 2007 en 2008 voor de Mac.

Bij succesvolle uitbuiting kan een aanvaller dezelfde rechten verwerven als de lokale gebruiker. Daarvoor is een handeling van het slachtoffer nodig, namelijk het openen van een bijvoegsel of het bezoeken van een website die een besmet XLS bestand host. Tot er een patch is zal het bedrijf uiteraard geen technische details openbaar maken. Of en wanneer het bedrijf een patch brengt is nog niet bekend.

Intussen raadt de grootmacht gebruikers van Office 2003 aan om verdachte Excelbestanden door Microsoft Office Isolated Conversion Environment ( MOICE) te halen. Eventueel, zo adviseert Microsoft, kunnen beheerders Fileblock toepassen om oudere Officebestanden te blokkeren. Overigens was het juist die functie die vorige week een klein relletje veroorzaakte omdat deze door SP3 standaard aan werd gezet. Bron: Techworld