Microsoft on Trust, Privacy and the GDPR
Microsoft vahvisti maanantaina uuden nollapäivän haavoittuvuuden ohjelmistokomponenttien joukossa, jotka toimivat monenlaisissa yhtiön tuotteissa.
Haavoittuvuus sijaitsee Microsoftin Office Web Components -ohjelmissa, joita käytetään laskentataulukoiden julkaisemiseen, kaaviot ja tietokannat Webiin, muun muassa.
"Erityisesti haavoittuvuus on olemassa Spreadsheet ActiveX -ohjauksessa ja kun olemme nähneet vain rajoitettuja hyökkäyksiä, jos niitä käytetään hyväksi, hyökkääjä voi saada samat käyttöoikeudet kuin paikalliselta käyttäjältä ", kirjoitti blogivastaava Dave Forstrom, joka on osa Microsoftin tietoturvakeskusta.
[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]ActiveX-ohjaus on pieni lisäohjelma, joka toimii Web-selaimessa helpottaakseen toimintoja, kuten ohjelmien tai tietoturvapäivitysten lataamista. Vuosien mittaan valvonta on kuitenkin ollut haavoittuvuudessa.
Uusi virhe tulee vain muutama päivä ennen kuin yritys on päättänyt julkaista kuukausittaiset korjaustiedostot, joista yksi on toinen nollapäivän haavoittuvuus, joka paljastettiin aiemmin tässä kuussa. Tämä ongelma liittyy Internet Explorerin Video ActiveX -ohjaukseen, ja hakkerit käyttävät sitä tällä hetkellä aseman latausyrityksissä.
Erityisen vaarallisten haavoittuvuuksien tapauksessa Microsoft on poikennut korjaustiedostostaan ja antanut sen pois sykliä.
Microsoft ilmoitti, että virhe saattaa sallia hyökkääjän suorittaa koodin etänä koneessa, jos joku, joka käyttää Internet Explorer, vierailee haitallisella verkkosivustolla, hakuprosessilla, joka tunnetaan nimellä drive-by download. Web-sivustoja, jotka ylläpitävät käyttäjän tarjoamaa sisältöä tai mainoksia, voidaan käyttää haavoittuvuuden hyödyntämiseen.
"Kaikissa tapauksissa hyökkääjä ei kuitenkaan voi pakottaa käyttäjiä käymään näitä sivustoja", neuvoa-antava sanoi. "Sen sijaan hyökkääjän pitäisi saada käyttäjiä käymään verkkosivustossa, tavallisesti saattamalla heidät napsauttamaan linkkiä sähköpostiviestiin tai pikaviestiviestiin, joka vie käyttäjiä hyökkääjän verkkosivustoon."
Microsoft julkaisi luettelon vaikuttavista ohjelmista, mukaan lukien Office XP Service Pack 3, 2003 Service Pack 3, useita eri versioita Internet Security and Acceleration Server ja Office Small Business Accounting 2006.
Jotta korjaustiedosto olisi valmis, Microsoft sanoi yhden vaihtoehdon järjestelmänvalvojat on estää Officen Web-komponentit käytöstä Internet Explorerissa ja on antanut ohjeita.
Peer-to-peer-asiakas UTorrent korjaa vakavan haavoittuvuuden
Yksi suosituimmista ohjelmista, joita jotkut tekevät laitonta tiedostoa laittomasti vakava ohjelmisto ...
Tutkijat löytävät haavoittuvuuden Windows Vistassa
Tietoturvamyyjä kertoo virheestä Windows Vistassa, joka voi antaa hyökkääjän käyttämästä luvatonta koodia järjestelmässä.
Microsoft kieltää Windows 7: n UAC-haavoittuvuuden
Microsoft kieltää Windows 7: n käyttäjätilien hallintaominaisuuden tietoturva-aukon bloggerin raportista huolimatta. Microsoft kieltää, että Windows 7: n käyttäjätilien valvontatoiminto (UAC) -ominaisuus on tietoturva-aukko, kun bloggaaja ilmoitti viime viikolla ja ilmoittanut, mitä hän sanoi korjaavaksi.