माइक्रोसॉफ्ट एक और शून्य-दिन भेद्यता की पुष्टि करता है

माइक्रोसॉफ्ट ने सॉफ़्टवेयर घटकों के एक सेट में सोमवार को एक और शून्य-दिन की भेद्यता की पुष्टि की जो कंपनी के उत्पादों की एक विस्तृत विविधता में शिप करता है।

भेद्यता माइक्रोसॉफ्ट के ऑफिस वेब घटक में रहती है, जिसका उपयोग स्प्रैडशीट्स प्रकाशित करने के लिए किया जाता है, अन्य कार्यों के बीच, वेब पर चार्ट और डेटाबेस। कंपनी एक पैच पर काम कर रही है लेकिन एक सलाहकार के अनुसार इसे जारी नहीं किया जाएगा।

"विशेष रूप से, स्प्रेडशीट ActiveX नियंत्रण में भेद्यता मौजूद है और जब हमने सफलतापूर्वक शोषण किया है, तो हमने केवल सीमित हमलों को देखा है, एक ब्लॉग पोस्ट में माइक्रोसॉफ्ट के सिक्योरिटी रिस्पांस सेंटर का हिस्सा है, जो एक समूह प्रबंधक डेव फोर्स्ट्रॉम लिखा था, एक हमलावर स्थानीय उपयोगकर्ता के समान उपयोगकर्ता अधिकार प्राप्त कर सकता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

एक ActiveX नियंत्रण एक छोटा ऐड-ऑन प्रोग्राम है जो प्रोग्राम या सुरक्षा अद्यतन डाउनलोड करने जैसे कार्यों को सुविधाजनक बनाने के लिए वेब ब्राउज़र में काम करता है। हालांकि, पिछले कुछ सालों में नियंत्रण कमजोर पड़ने के लिए प्रवण रहा है।

नई खामियां कंपनी के मासिक पैच जारी करने से ठीक पहले एक दिन पहले आती हैं, जिसमें इस महीने की शुरुआत में एक और शून्य दिन की भेद्यता के लिए एक भी शामिल है। यह समस्या इंटरनेट एक्सप्लोरर के भीतर वीडियो एक्टिवैक्स नियंत्रण के साथ निहित है और वर्तमान में ड्राइवर्स द्वारा डाउनलोड प्रयासों में हैकर्स द्वारा इसका उपयोग किया जा रहा है।

विशेष रूप से खतरनाक भेद्यता के मामलों में, माइक्रोसॉफ्ट ने अपने पैचिंग शेड्यूल से विचलित होकर चक्र से बाहर एक जारी किया है।

माइक्रोसॉफ्ट ने कहा कि दोष किसी हमलावर को मशीन पर दूरस्थ रूप से कोड निष्पादित करने की इजाजत दे सकता है यदि इंटरनेट एक्सप्लोरर का उपयोग करने वाला कोई व्यक्ति दुर्भावनापूर्ण वेबसाइट पर जाता है, एक हैकिंग तकनीक जिसे ड्राइव-बाय डाउनलोड के रूप में जाना जाता है। सलाहकार ने कहा कि उपयोगकर्ता द्वारा प्रदत्त सामग्री या विज्ञापनों को होस्ट करने वाली वेबसाइटें भेद्यता का लाभ उठाने के लिए परेशान हो सकती हैं।

"हालांकि, सभी मामलों में, हमलावरों के पास इन वेबसाइटों पर जाने के लिए उपयोगकर्ताओं को मजबूर करने का कोई तरीका नहीं होगा।" "इसके बजाए, एक हमलावर को उपयोगकर्ताओं को वेब साइट पर जाने के लिए राजी करना होगा, आम तौर पर उन्हें ई-मेल संदेश या त्वरित मैसेंजर संदेश में एक लिंक पर क्लिक करने के लिए जो उपयोगकर्ताओं को हमलावर की वेबसाइट पर ले जाता है।"

माइक्रोसॉफ्ट ने जारी किया प्रभावित सॉफ़्टवेयर की सूची, जिसमें Office XP सर्विस पैक 3, 2003 सर्विस पैक 3, इंटरनेट सुरक्षा और एक्सेलेरेशन सर्वर और Office Small Business Accounting 2006 के कई संस्करण शामिल हैं।

पैच तैयार होने तक, माइक्रोसॉफ्ट ने एक विकल्प कहा प्रशासक Office वेब घटक को इंटरनेट एक्सप्लोरर में चलने से अक्षम करना है और निर्देश प्रदान किए हैं।