Ny nul-dag angreb fordobler bekymring for IE-brugere

Microsoft advarede i dag om en alvorlig sikkerhedssårbarhed i en regneark ActiveX-kontrol, som kunne muliggøre et overførselsangreb mod sårbare pc'er.

Nyheden betyder der er nu to kritiske, upatchede huller, der involverer fejlbehæftet ActiveX-kontroller (den første blev afsløret i sidste uge), der kunne gøre IE-brugere sårbare over for drev-ved-download-angreb, hvis de blot ser en forgiftet webside. Microsofts rådgivning angiver ikke, om IE 8 kan begrænse den nye trussel, men den indeholder en liste over disse softwarekomponenter som installation af den fejlbehæftede ActiveX:

• Microsoft Office XP Service Pack 3
• Microsoft Office 2003 Service Pack 3
• Microsoft Office XP-webkomponenter Service Pack 3
• Microsoft Office 2003-webkomponenter Service Pack 3
• Microsoft Office 2003-webkomponenter til 2007 Microsoft Office System Service Pack 1
• Service Pack 3 til Microsoft Internet Security og Acceleration Server 2004 Service Pack 3
• Microsoft Internet Security og Acceleration Server 2004 Enterprise Edition Service Pack 3
• Microsoft Internet Security og Acceleration Server 2006
• Internet Security and Acceleration Server 2006 Support Update
• Microsoft Internet Security og Acceleration Server 2006 Service Pack 1
• Microsoft Office Small Business Accounting 2006

Office 2000 Service Pack 3 og Office 2007 er ikke i fare i sig selv, ifølge rådgivningen, men Office 2007-brugere kan være sårbare, hvis de har installeret pakken Office 2003 Web Components, der er angivet ovenfor.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Mens Microsoft vil udgive sin månedlige patchbatch i morgen, er det meget usandsynligt, at det vil omfatte en løsning for denne fejl. Så hvis du har (eller tror, ​​du måske har) nogen af ​​de berørte software installeret på din pc, skal du gå til Microsofts fix-it-side og klikke på knappen Fix it under "Enable Workaround." Kør derefter den downloadede.msi-fil for at deaktivere den fejlbehæftede tilføjelse, mens vi venter på en reel løsning fra Microsoft.

Og hvis du endnu ikke har anvendt den tilsvarende Fix-it-løsning for sidste uges lige farlige ActiveX-nul-dag hullet, finder du linket på denne Fix-it-side.