Microsoft Mengonfirmasi Kerentanan Nol-Hari Lain

Microsoft mengkonfirmasi kerentanan zero-day lainnya pada hari Senin dalam satu set komponen perangkat lunak yang dikirimkan dalam berbagai macam produk perusahaan.

Kerentanan berada di Microsoft Office Web Components, yang digunakan untuk menerbitkan spreadsheets, bagan, dan basis data ke Web, di antara fungsi-fungsi lainnya. Perusahaan sedang mengerjakan tambalan tetapi tidak menunjukkan kapan akan dirilis, menurut penasehat.

"Khususnya, kerentanan ada di kontrol ActiveX Spreadsheet dan sementara kami hanya melihat serangan terbatas, jika berhasil dieksploitasi, penyerang dapat memperoleh hak pengguna yang sama dengan pengguna lokal, "tulis Dave Forstrom, manajer grup yang merupakan bagian dari Pusat Respons Keamanan Microsoft, dalam posting blog.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Kontrol ActiveX adalah program add-on kecil yang berfungsi di browser Web untuk memfasilitasi fungsi seperti mengunduh program atau pembaruan keamanan. Selama bertahun-tahun, bagaimanapun, kontrol telah rentan terhadap kerentanan.

Cacat baru datang hanya sehari sebelum perusahaan diatur untuk merilis patch bulanan, termasuk satu untuk kerentanan zero-day lain yang diungkapkan awal bulan ini. Masalah itu terletak pada kendali Video ActiveX dalam Internet Explorer dan saat ini digunakan oleh peretas dalam upaya pengunduhan drive-by.

Dalam kasus kerentanan yang sangat berbahaya, Microsoft telah menyimpang dari jadwal tambalannya dan mengeluarkan satu dari siklus.

Microsoft mengatakan bahwa cacat dapat memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh pada mesin jika seseorang yang menggunakan Internet Explorer mengunjungi situs Web berbahaya, teknik peretasan yang dikenal sebagai unduhan drive-by. Situs web yang meng-host konten atau iklan yang disediakan pengguna dapat dicurangi untuk memanfaatkan kerentanan.

"Dalam semua kasus, bagaimanapun, penyerang tidak akan memiliki cara untuk memaksa pengguna untuk mengunjungi situs-situs Web ini," kata penasehat. "Sebaliknya, penyerang harus membujuk pengguna untuk mengunjungi situs Web, biasanya dengan membuat mereka mengklik tautan dalam pesan email atau pesan Instant Messenger yang membawa pengguna ke situs Web penyerang."

Microsoft mengeluarkan daftar perangkat lunak yang terpengaruh, yang mencakup Office XP Paket Layanan 3, 2003 Paket Layanan 3, beberapa versi Server Keamanan dan Percepatan Internet dan Office Small Business Accounting 2006, antara lain.

Hingga patch siap, Microsoft mengatakan satu opsi untuk administrator adalah untuk menonaktifkan Office Web Components agar tidak berjalan di Internet Explorer dan telah memberikan instruksi.