Nadat vorige week een besturingselement uit de Active X-familie van Microsoft onder vuur kwam te liggen, is er nu opnieuw een kritiek lek in die software. Microsoft heeft gisteren een beveiligingsadvies uitgebracht over deze nieuwe kwetsbaarheid in de Active X-bibliotheek.

Combinatie met Office

Het gat vormt een risico voor gebruikers van Office XP, Office 2003, ISA 2004, ISA 2006 en Office Small Business Accounting 2006 die via Internet Explorer het web raadplegen. Andere webbrowsers zijn niet kwetsbaar. Microsoft noemt het lek ‘kritiek’, waarmee het bedrijf aangeeft dat de computer van de gebruiker door kwaadwillende hackers op afstand kan worden overgenomen.

Gebruikers van Office 2007 hoeven niets te vrezen, tenzij zij het onderdeel Office Web Components 11 hebben geïnstalleerd. Dat is normaal gesproken niet het geval, omdat die uitbreiding geleverd wordt bij Office 2003. Bij latere versies van Microsofts kantoorpakket is Web Components overbodig.

Drive-by

Net als bij het lek van vorige week, kan ook dit zwakke punt in de Active X-omgeving misbruikt worden door malware op een website. Simpelweg het bezoeken van een besmette site levert de pc van de eindgebruiker een besmetting op. Volgens antivirusmaker Sophos is de kwaadaardige code al op verschillende Chinese sites gesignaleerd.

Microsoft heeft nog geen patch voorhanden, maar is druk bezig met de ontwikkeling. “De update komt beschikbaar zodra deze geschikt is voor wereldwijde distributie”, meldt een woordvoerder van Microsofts beveiligingsteam MSRC.

Workaround beschikbaar

In afwachting van de patch kunnen gebruikers zichzelf beschermen door twee Active X-elementen uit te schakelen in het register van Windows. Dit kan handmatig worden gedaan, maar ook met de workaround die bij Microsoft valt te downloaden.

Opvallend is het tijdstip waarop Microsoft het lek wereldkundig maakt. Gisteren kwam het bedrijf met details over Office 2010, dat net als de gratis Office Web-uitvoering volgend jaar uitkomt. Die gratis online-software omvat light-varianten van de Office-onderdelen Word, Excel, Powerpoint en OneNote.

Zero-day

Microsoft is de laatste weken nogal druk met het bekendmaken van zogeheten ‘zero-day’ kwetsbaarheden. Bij een zero-day zijn hackers op de hoogte van een lek voordat de fabrikant van het product een patch klaar heeft. De aankondiging van gisteren was de derde in twee maanden en de vijfde sinds februari dit jaar. Vorige week kwam naar buiten dat Microsoft een ander lek bijna een jaar lang moedwillig had verzwegen.

Bron: Techworld.nl.