IT-sikkerhetsselskaper og Microsoft selv advarer at en nyoppdaget sårbarhet i regnearket Excel må betraktes som «ekstremt kritisk», og at det allerede er registrert angrep som utnytter den.
Ifølge Microsoft Security Advisory (968272) er de registrerte angrepene «begrensede og målrettede».
Både Microsoft og Secunia (se Microsoft Excel Invalid Object Reference Vulnerability) sier at en angriper kan oppnå full kontroll over ofrets pc.
Microsoft peker på at angriperen ikke kan få større rettigheter overfor pc-en enn brukeren selv. Derfor anbefales det at man i det daglige arbeidet ikke anvender en konto som gir fulle administrative rettigheter til pc-en. Har man ikke selv rett til å installere nye programmer, vil heller ikke angriperen kunne gjøre det.
Det pekes videre på at hullet ikke kan utnyttes automatisk via e-post. Angriperen må lure mottakeren til å laste ned et spesielt Excel-dokument.
For å smitte via web, må det potensielle offeret lokkes til å besøke et spesielt nettsted, og derfra påføres et Excel-dokument.
Les også:
- [06.03.2009] Sikkerhetsfikser i vente for Windows
- [18.02.2009] Angrep i gang mot kjent IE7-sårbarhet
- [06.02.2009] Kritisk sårbarhet i Microsoft-server
- [03.02.2009] Hver andre sårbarhet lever evig
- [20.01.2009] Ble angrepet tross feilfiks fra Microsoft
