Vulnerabilidade encontrada em componentes Web do Office

Já estava nos planos da Microsoft o lançamento de um patch de segurança para o Office com correções de vulnerabilidades divulgadas há mais de um ano. Mas antes que a atualização fosse disponibilizada, a empresa de Redmond já tem mais um buraco para tapar.

Uma vulnerabilidade, classificada como crítitica pela empresa de anti-malware Sophos, foi encontrada em um ActiveX que faz parte dos Componentes Web do Microsoft Office 10 e 11, e já está sendo usada em ataques online e pode já ter se tornado parte de um Exploit Kit. As informações são de Vanja Svajcer em um artigo para o blog Sophos Lab.

Curiosamente, ambas as versões não possuem a vulnerabilidade em sua instalação padrão. Entretanto, aqueles que possuírem instalados os seguintes produtos listados abaixo estarão vulneráveis. São eles:

1. Office XP SP3;
2. Office 2003 SP3;
3. Office XP Web Components SP3;
4. Office 2003 Web Components SP3;
5. Office 2003 Web Components for the 2007 Microsoft Office System SP1;
6. Internet Security and Acceleration Server 2004 Standard Edition SP3;
7. Internet Security and Acceleration Server 2004 Enterprise Edition SP3;
8. Internet Security and Acceleration Server 2006;
9. Internet Security and Acceleration Server 2006 SP1;
10. Office Small Business Accounting 2006.

O ActiveX integrante dos Components Web do Office permite a visualização de planilhas, além de banco de dados e tabelas, diretamente da internet. Com o exploit, se o usuário acessar o site malicioso utilizando o Internet Explorer, o atacante pode ganhar todos os direitos do usuário e executar códigos maliciosos livremente.

A recomendação para aqueles que possuem seu sistema vulnerável é que faça a atualização assim que esta estiver disponível. Enquanto isso evite visitar sites desconhecidos ou escolha um browser melhor. [BetaNews]