Pojawiło się publiczne doniesienie o nowej luce krytycznej w Microsoft Core XML Services. Lukę zero-day zidentyfikowała początkowo Secunia, a następnie potwierdziła ją firma Microsoft w specjalnym poradniku bezpieczeństwa. Według tej duńskiej firmy, luka, która dotyczy wszystkich obecnych wersji Windowsa, z wyjątkiem Server 2003 z i bez SP1, jest już wykorzystywana.

Od momentu opublikowania przeglądarki Internet Explorer 7 wzrosło zainteresowanie lukami w zabezpieczeniu produktów Microsoftu. Doniesienia o lukach w nowej przeglądarce, mające na celu przywrócenie równowagi sił na rynku przeglądarek internetowych, zaczęły pojawiać się praktycznie kilka godzin po wprowadzeniu IE7. Microsoft szybko wykazał, że luki nie zostały wykryte w IE, a raczej mogą być wykorzystywane za pośrednictwem przeglądarki.

Nowa luka w XMLHTTP 4.0 ActiveX Control może być wykorzystana również poprzez całkowicie załataną przeglądarkę Internet Explorer, wersje 6 i 7. Jednak w przeciwieństwie do poprzednich doniesień o lukach, które nie zostały ocenione jako krytyczne, najnowsza luka otrzymała od firmy Secunia najwyższy poziom ważności "ekstremalnie krytyczny". Microsoft ostrzega w swoim poradniku bezpieczeństwa, że osoba atakująca może wykorzystać tę lukę, zwabiając użytkowników na zainfekowaną stronę. Udany atak może, według firmy Secunia, spowodować wykonanie dowolnego kodu. Microsoft obiecał dostarczenie łaty w ramach comiesięcznego cyklu aktualizacji lub poza nim, jak miało to już miejsce w tym roku. Microsoft zaleca użytkownikom, aby do czasu opublikowania łaty chronili swoje komputery, wyłączając Active Scripting lub kontrolki ActiveX w Internet Explorer.

Źródło: Microsoft TechNet Secunia SecurityFocus