Microsoft מאשרת עוד פגיעות של יום אפס

מיקרוסופט אישרה פגיעות נוספת של יום אפס ביום שני במערך של רכיבי תוכנה המשלוחים במגוון רחב של מוצרי החברה.

הפגיעות מתגוררת ברכיבי האינטרנט של Microsoft Office, המשמשים לפרסום גיליונות אלקטרוניים, תרשימים ומסדי נתונים לאינטרנט, בין שאר הפונקציות. החברה עובדת על תיקון, אך לא ציינה מתי הוא ישוחרר, על פי ייעוץ.

"באופן ספציפי, הפגיעות קיימת בפקד ה- ActiveX של Spreadsheet ובזמן שאנו רואים רק התקפות מוגבלות, אם נעשה שימוש בהצלחה, תוקף יכול לקבל את אותן זכויות משתמש כמו המשתמש המקומי ", כתב דייב פורסטרום, מנהל קבוצה שהוא חלק ממרכז האבטחה של מיקרוסופט, בפוסט בבלוג.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב שלך ב- Windows]

פקד ActiveX הוא תוכנית הרחבה קטנה שעובדת בדפדפן אינטרנט כדי להקל על פונקציות כגון הורדת תוכניות או עדכוני אבטחה. עם השנים, עם זאת, הבקרות היו נוטות לפגיעויות.

הפגם החדש מגיע רק יום לפני שהחברה תפרסם את התיקונים החודשיים שלה, כולל אחד עבור פגיעות נוספת של יום אפס שהתגלתה בתחילת החודש. בעיה זו טמונה בבקרת ה- ActiveX של וידאו ב- Internet Explorer ונמצאת בשימוש כעת על ידי האקרים בנסיונות להוריד.

במקרים של פגיעויות מסוכנות במיוחד, Microsoft חרגה מתזמון התיקון שלה והוציאה אחת מתוך המחזור.

מיקרוסופט אמרה כי הפגם עלול לאפשר לתוקף לבצע קוד מרחוק במחשב אם משתמש ב- Internet Explorer מבקר באתר אינטרנט זדוני, טכניקת פריצה הידועה בשם הורדה באמצעות כונן. אתרי אינטרנט המארחים תוכן או פרסומות שסופקו על-ידי המשתמש יכולים להיות מבוים כדי לנצל את הפגיעות.

"בכל המקרים, עם זאת, לתוקף לא תהיה כל דרך לאלץ משתמשים לבקר באתרי אינטרנט אלה", אמר היועץ. "במקום זאת, התוקף יצטרך לשכנע את המשתמשים לבקר באתר האינטרנט, בדרך כלל על-ידי לחיצה על קישור בהודעת דואר אלקטרוני או בהודעת Instant Messenger המביאה משתמשים לאתר האינטרנט של התוקף".

Microsoft הנפיקה רשימה של תוכנות מושפעות, הכוללת את Office XP Service Pack 3, 2003 Service Pack 3, מספר גירסאות של Internet Security ו- Acceleration Server ו- Office Small Business Accounting 2006, בין היתר.

עד להשלמת תיקון, Microsoft אמרה אפשרות אחת מנהלי מערכת הם להשבית את רכיבי האינטרנט של Office לפעול ב- Internet Explorer וספק הוראות.