微软周一发布了公告，警告Office Web应用组件中的新漏洞正在被攻击者活跃利用。

　　Office Web应用组件允许用户查看网络上的电子数据表、图表和数据库。微软说漏洞存在在电子表格ActiveXControl中。IE用它在浏览器中显示数据。当使用IE浏览和访问恶意网站的时候，漏洞可以被远程利用。微软说，如果攻击成功，攻击者可以获取和本地用户相同的用户权限，并完全控制系统。

　　“我们的调查显示虽然IE没有危险，远程代码执行仍是可能的，而且可能在使用IE的时候不需要有任何的用户参与。”微软可靠计算组的经理Dave Forstrom在声明时如此说。

　　微软列出了受漏洞影响的产品，包括Microsoft Office XP SP 3、Microsoft Office 2003 SP 3、Microsoft Office XP Web Components SP 3、 Microsoft Office Web Components 2003 SP 3、Microsoft Office 2003 Web Components for the 2007 Microsoft Office system SP 1、Microsoft Internet Security和Acceleration Server 2004 Standard and Enterprise Edition SP 3、Microsoft Internet Security和Acceleration Server 2006、Internet Security和Acceleration Server 2006 Supportability Update、Microsoft Internet Security和Acceleration Server 2006 SP 1、 Microsoft Office Small Business Accounting 2006。

　　微软发布了自动工作区，供补丁发布前使用。这个工作区可以阻止Office Web组件库在IE中的运行。技术性更强的手动工作区需要通过在注册表增加值设置控件中的killbit。

　　Danish vulnerability clearinghouse, Secunia在公告中给这个漏洞定的级别是极其严重。

　　Sophos Inc.的高级技术顾问Graham Cluley说最近的攻击是微软工作的停止。

　　Cluley在Sophos的博客中写道：“他们最新的补丁包将在明天（周二）发布，也就是说他们呢几乎确定不能在这次的补丁发布中包含这个安全漏洞的补丁。

微信公众号

TechTarget

官方微博

TechTarget中国