Em um comunicado de segurança divulgado ontem, A Microsoft alertou sobre uma vulnerabilidade recém-descoberta de todos os sistemas Windows devido a ataques de invasão de segurança. A ameaça é encontrada na função Vinculação de Objetos do Windows (OLE). A função é desenvolvida para que os usuários possam incorporar uma tabela do Excel em um arquivo de texto, por exemplo. A vulnerabilidade foi descoberta para ser executada com o aplicativo de escritório do Windows Power Point no momento, mas pode ser incorporado em praticamente todos os tipos de arquivos que suportam a função OLE. Ele permite que os invasores executem um malware quando um usuário está abrindo um documento do Microsoft Office, por exemplo, injetado com o malware. Ao abrir esse documento, os usuários concedem o mesmo nível de acesso aos hackers que eles próprios e devem ter cuidado extra com isso no momento. O controle de conta de usuário (UAC) O recurso do Windows é ativado automaticamente no Windows Vista e superior, mas se ele tiver sido desativado em algum momento, o malware pode afetar facilmente o sistema.
Todas as versões suportadas pelo Windows, exceto o Windows Server 2003 são expostos ao ataque. De acordo com a Microsoft, já está ativo, usando arquivos de aplicativo do PowerPoint.
A Microsoft afirma que eles já estão trabalhando para corrigir o problema e lançaram uma solução de correção única no momento. No aviso de segurança de ontem, eles também recomendam aos usuários que sigam o guia "Proteja seu computador" ativando um firewall, aplicar todas as atualizações de software e instalar software antivírus e anti-spyware. A correção não oferece suporte às edições de 64 bits do PowerPoint em edições baseadas em x64 do Windows 8 e Windows 8.1 Apesar. Como alternativa, os usuários podem ativar o UAC em seus computadores e configurar o Enhanced Mitigation Experience Toolkit 5.0 para reduzir os danos do ataque.
O lançamento do Patch Tuesday da Microsoft para outubro já continha quatro correções de vulnerabilidade de dia zero. O próximo lançamento da Patch Tuesday da empresa será em 11 novembro, 2014. Talvez contenha uma correção permanente para este também.