Microsoft wydał Security Advisory 955179, w którym ostrzega o odnalezionej luce zabezpieczeń w
aplikacji Snapshot Viewer w Office Access. Konkretnie usterka tkwi
w kontrolce ActiveX wykorzystywanej podczas generowania podglądu
migawki raportu programu Access. Eksploatacja luki polega na
przygotowaniu złośliwej witryny internetowej, a następnie
skłonieniu użytkownika do jej wyświetlenia. Luka może w takiej
sytuacji pozwolić na zdalne wykonanie kodu na komputerze ofiary.
Niemniej, kod zostaje wykonany z uprawnieniami aktualnie
zalogowanego użytkownika.
Usterka dotyczy wszystkich wersji Office Access oprócz najnowszej
edycji 2007, bo tam nie ma kontrolki Snapshot Viewer. Microsoft już
pracuje nad poprawką, a w międzyczasie zaleca podjęcie szeregu
środków zapobiegawczych - między innymi pracę na koncie z
uprawnieniami zwykłego użytkownika (co i tak powinno być regułą),
skonfigurowanie przeglądarki do pytania o zgodę na uruchomienie
ActiveX czy zaostrzenie ustawień stref zabezpieczeń.