Volgens een veiligheidsadvies dat Microsoft maandag uitbracht, is de nieuwe kwetsbaarheid in de Active X-bibliotheek van toepassing op de webonderdelen van Microsoft Excel.

Combinatie Internet Explorer en Office

Risico lopen gebruikers van Office XP, Office 2003, ISA 2004, ISA 2006 en Office Small Business Accounting 2006 die via Internet Explorer het web raadplegen. Microsoft noemt het lek ‘kritisch’, waarmee het bedrijf wil zeggen dat de computer van de gebruiker door kwaadwillende hackers kan worden ovegenomen.

Gebruikers van Office 2007 hoeven niets te vrezen, tenzij het onderdeel Office Web Components 11 geïnstalleerd hebben staan. Dit is normaal gesproken niet het geval, omdat deze uitbreiding bij Office 2003 geleverd wordt. Bij latere versies is Web Components overbodig.

Net als bij het lek van vorige week, kan ook dit zwakke punt in de Active X-omgeving misbruikt worden door een exploit op een site. Volgens antivirusmaker Sophos is de code op verschillende Chinese sites gesignaleerd. Microsoft heeft nog geen patch voorhanden, maar is druk bezig met de ontwikkeling. “De update komt beschikbaar zodra deze geschikt is voor wereldwijde distributie”, aldus een woordvoerder van het Microsofts veiligheidsteam MSRC.

Workaround beschikbaar

In afwachting van de patch kunnen gebruikers zichzelf beschermen door twee Active X-elementen uit te schakelen in het register van Windows. Dit kan zelf gedaan worden, maar ook via de beschikbare workaround die via Microsoft gedownload kan worden.

Opvallend is het tijdstip waarop Microsoft het lek wereldkundig maakte. Gisteren maakte het bedrijf de details bekend voor Office 2010, dat net als de gratis versie Office Web volgend jaar uitkomt. In die laatste versie zijn light-varianten van de Office-onderdelen Word, Excel, Powerpoint en OneNote opgenomen.

Zero-day

Het bedrijf is de laatste weken druk met het aankondigen van zogenaamde ‘zero-day’ kwetsbaarheden. Bij een zero-day zijn hackers eerder op de hoogte van het lek dan de fabrikant van het product. Gevolg is dat nog geen patch verkrijgbaar is. De aankondiging van gisteren was de derde in twee maanden en de vijfde sinds februari dit jaar. Vorige week kwam naar buiten dat het bedrijf een ander lek bijna een jaar lang moedwillig had verzwegen. Bron: Techworld