Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Publicerad - Sårbarhet, 0-day, Microsoft

SR09-120 Microsoft - "0day"-sårbarhet i Microsoft Office Web Components

En "0day"-sårbarhet har identifierats i Microsoft Office Web Components. Effektivt utnyttjande kan leda till att godtycklig kod kan exekveras på ett sårbart system.

Problembeskrivning

CVE-referens: CVE-2009-1136

Sårbarheten finns i den ActiveX-kontroll som bland annat används av Internet Explorer för att visa upp kalkylark. En användare med en sårbar version av ActiveX-kontrollen behöver bara besöka en riggad webbplats för att drabbas. Vid ett effektivt utnyttjande kan en angripare skaffa sig samma rättigheter på datorn som den drabbade användaren har.

Enligt Microsoft utnyttjas sårbarheten aktivt på Internet.

Tillfällig lösning:

För tillfället finns ingen rättning att tillgå via Windows Update, men Microsoft har släppt ett antal dokument som beskriver hur man kan åtgärda problemet tills vidare.

Microsoft har släppt en .msi-fil (Microsoft Installer) som kan köras för att rätta sårbarheten automatiskt (kräver administrativa rättigheter): http://support.microsoft.com/kb/973472

Här finns instruktioner för den som vill rätta sårbarheten "manuellt" och instruktioner för att verifiera en rättning: http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx

Generell information om hur man hindrar ActiveX-kontroller från att köra i Internet Explorer:
http://support.microsoft.com/kb/240797

I skrivandets stund är det oklart om en rättning som åtgärdar sårbarheten kommer med i Microsofts månatliga säkerhetsbulletiner som släpps under morgondagen.

Påverkade versioner

  • Microsoft Office XP Service Pack 3
  • Microsoft Office 2003 Service Pack 3
  • Microsoft Office XP Web Components Service Pack 3
  • Microsoft Office Web Components 2003 Service Pack 3
  • Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
  • Microsoft Internet Security and Acceleration Server 2006
  • Internet Security and Acceleration Server 2006 Supportability Update
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
  • Microsoft Office Small Business Accounting 2006

Mer information och programrättningar

http://www.microsoft.com/technet/security/advisory/973472.mspx

http://support.microsoft.com/kb/973472

http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx

http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx

http://isc.sans.org/diary.html?storyid=6778