Tecnoblog

Já estava nos planos da Microsoft o lançamento de um patch de segurança para o Office com correções de vulnerabilidades divulgadas há mais de um ano. Mas antes que a atualização fosse disponibilizada, a empresa de Redmond já tem mais um buraco para tapar.

Uma vulnerabilidade, classificada como crítitica pela empresa de anti-malware Sophos, foi encontrada em um ActiveX que faz parte dos Componentes Web do Microsoft Office 10 e 11, e já está sendo usada em ataques online e pode já ter se tornado parte de um Exploit Kit. As informações são de Vanja Svajcer em um artigo para o blog Sophos Lab.

Curiosamente, ambas as versões não possuem a vulnerabilidade em sua instalação padrão. Entretanto, aqueles que possuírem instalados os seguintes produtos listados abaixo estarão vulneráveis. São eles:

1. Office XP SP3;
2. Office 2003 SP3;
3. Office XP Web Components SP3;
4. Office 2003 Web Components SP3;
5. Office 2003 Web Components for the 2007 Microsoft Office System SP1;
6. Internet Security and Acceleration Server 2004 Standard Edition SP3;
7. Internet Security and Acceleration Server 2004 Enterprise Edition SP3;
8. Internet Security and Acceleration Server 2006;
9. Internet Security and Acceleration Server 2006 SP1;
10. Office Small Business Accounting 2006.

O ActiveX integrante dos Components Web do Office permite a visualização de planilhas, além de banco de dados e tabelas, diretamente da internet. Com o exploit, se o usuário acessar o site malicioso utilizando o Internet Explorer, o atacante pode ganhar todos os direitos do usuário e executar códigos maliciosos livremente.

A recomendação para aqueles que possuem seu sistema vulnerável é que faça a atualização assim que esta estiver disponível. Enquanto isso evite visitar sites desconhecidos ou escolha um browser melhor. [BetaNews]

A Microsoft alertou hoje para uma falha de segurança, até então desconhecida, que permite que crackers assumam controle total do computador que tenha acessado algum site infectado. Usuários de Windows XP e Windows Server 2003 precisam ficar atentos com relação aos websites que frequentam.

Segundo aviso oficial de segurança, a vulnerabilidade está no Microsoft Video ActiveX Control. Usuários de Internet Explorer não precisariam fazer nada além de acessar um site hackeado para que o cracker tenha controle total do computador, porém limitado aos privilégios que o usuário possui.

Download gratuito desabilita controle ActiveX vulnerável. (Reprodução)

Enquanto a empresa trabalha num patch que dê fim à vulnerabilidade, a sugestão é que usuários de Windows XP ou Windows Server 2003 acessem uma página especial (traduzida automaticamente para o português) e cliquem no botão “Microsoft Fix It”, logo abaixo de “Ativar solução alternativa”. Um aplicativo de 1MB será baixado.

• Acessar a página especial sobre a vulnerabilidade.
• Baixar o arquivo “MicrosoftFixit50287.msi” (a partir dos servidores da MS).

Uma vez que o aplicativo seja executado, o controle ActiveX será desativado. Dessa forma não há como a vulnerabilidade ser explorada por algum usuário mal intencionado. Embora usuários de Windows Vista e Windows Server 2008 não sejam afetados pela vulnerabilidade, a Microsoft recomenda que eles também baixem e rodem o aplicativo. [USA Today]