Microsoft подтверждает еще одну уязвимость в отношении нулевого дня

Microsoft подтвердила еще одну уязвимость в течение дня в течение дня в комплекте программных компонентов, поставляемых в самых разных продуктах компании.

Уязвимость существует в веб-компонентах Microsoft Office, которые используются для публикации электронных таблиц, графики и базы данных в Интернете, среди других функций. Компания работает над патчем, но не указала, когда он будет выпущен, согласно рекомендациям.

«В частности, эта уязвимость существует в элементе управления Active Directory и когда мы только видели ограниченные атаки, если они были успешно использованы, злоумышленник может получить те же права пользователя, что и локальный пользователь », - написал Дэйв Форстром, менеджер группы, входящий в Центр реагирования на запросы Microsoft, в сообщении в блоге.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Элемент управления ActiveX представляет собой небольшую дополнительную программу, которая работает в веб-браузере для облегчения таких функций, как загрузка программ или обновлений безопасности. Однако на протяжении многих лет элементы управления были подвержены уязвимостям.

Новый недостаток - всего за день до того, как компания выпустит свои ежемесячные исправления, в том числе одну другую уязвимость, обнаруженную в начале этого месяца. Эта проблема связана с элементом управления Video ActiveX в Internet Explorer и в настоящее время используется хакерами при попытках загрузки при загрузке.

В случае особо опасных уязвимостей Microsoft отклонилась от графика исправления и выпустила один из циклов.

Microsoft заявила, что этот недостаток может позволить злоумышленнику удаленно выполнять код на компьютере, если кто-то из Internet Explorer посещает вредоносный веб-сайт, метод взлома, известный как загрузка с диска. Веб-сайты, на которых размещен пользовательский контент или реклама, могут быть сфальсифицированы, чтобы воспользоваться этой уязвимостью.

«Однако во всех случаях злоумышленник не сможет заставить пользователей посещать эти веб-сайты», - говорится в рекомендациях. «Вместо этого злоумышленник должен будет убедить пользователей посетить веб-сайт, как правило, путем нажатия на ссылку в сообщении электронной почты или сообщении Instant Messenger, которое выводит пользователей на веб-сайт злоумышленника».

Microsoft выпустила список затронутого программного обеспечения, который включает в себя пакет обновления 3 (SP3) для Office XP, 2003 Service Pack 3, несколько версий Internet Security и Acceleration Server и Office Small Business Accounting 2006.

Пока пакет не будет готов, Microsoft сообщила, что один из вариантов администраторы должны отключить веб-компоненты Office от работы в Internet Explorer и предоставили инструкции.