De afgelopen weken zijn er drie lekken in Microsoft's Excel gevonden waardoor een aanvaller kwetsbare systemen kan overnemen. Microsoft kreeg allerlei vragen van haar klanten hoe het nu precies zit, waarop de softwaregigant het volgende overzicht gaf:

Lek #1 CVE-2006-3059
Kwetsbaar: Excel 2003, 2002, 2000, 2004 en X voor Mac en Viewer 2003.
Voor deze kwetsbaarheid werd laatst al een waarschuwing door Microsoft afgegeven. Volgens Mike van het Security Response Center worden gebruikers van Excel 2002 en Excel 2003 van tevoren gewaarschuwd als ze een bestand openen. Verder bevat de advisory verschillende oplossingen. Inmiddels is het Office team bezig met het testen van updates en hoopt men voor of op 11 juli met een patch te komen.

Lek #2 CVE-2006-3086
Kwetsbaar: Office XP en Office 2003.
Dit lek kan ook leiden tot het overnemen van een computer, gebruikers moeten dan een speciaal gemaakt Excel bestand openen en binnen dit bestand een link openen. Ook in dit geval raadt Microsoft gebruikers aan om voorzichtig te zijn met het openen van bestanden. Een aanvaller moet echter wat social engineering toepassen, maar dat neemt niet weg dat Microsoft al een "fix" aan het testen is.

Lek #3 Microsoft Excel File Embedded Shockwave Flash Object Exploit
Omschrijving: Dit lek werd vorige week ontdekt en werkt via een ActiveX control dat binnen een Office document geladen wordt. Volgens Microsoft betreft het hier gedrag dat zo ontworpen is, en is het op zichzelf geen security risico voor gebruikers. Een aanvaller kan echter deze functie gebruiken om een kwetsbaar ActiveX control te laden dat al via een Office document op het systeem van de gebruiker aanwezig is.

De softwaregigant benadrukt nogmaals dat dit geen lek is en dat recente Office versies hier tegen beschermd zijn, tenminste, als ze een "kill bit" via Microsoft's Security Bulletin hebben gedownload. Microsoft laat niet weten of ook voor dit probleem een patch verschijnt.