In april van dit jaar verscheen er een belangrijke beveiligingsupdate voor Microsoft Office die een zeroday-lek in de kantoorsoftware verhielp, alleen de patch bleek onvoldoende waardoor gebruikers nog steeds risico liepen. De kwetsbaarheid werd voor het verschijnen van de update actief aangevallen.

Alleen het openen van een kwaadaardig Office-document was voldoende om met malware besmet te raken. In werkelijkheid ging het niet om één beveiligingslek, maar twee, aldus de Chinese beveiligingsonderzoeker Li Haifei. Deze tweede kwetsbaarheid rapporteerde hij in januari van dit jaar aan Microsoft. Als oplossing kwam Microsoft in april met een update die van het "COM Activation Filter" in Windows gebruikmaakt.

Via dit filter besloot Microsoft twee gevaarlijke COM-objecten, waardoor de aanval mogelijk was, te filteren, in plaats van het onderliggende probleem te verhelpen. Als er echter een ander gevaarlijk COM-object gevonden zou worden zouden gebruikers opnieuw kwetsbaar zijn. Haifei en een andere onderzoeker ontdekten een dergelijk COM-object, waardoor het aanvallen van Office-gebruikers opnieuw mogelijk was. Haifei waarschuwde Microsoft eind mei, waarna het probleem op 11 juli via een nieuwe Office-update door Microsoft werd verholpen.

Volgens Haifei laat de kwetsbaarheid zien dat Microsoft geen goed werk heeft geleverd en een "zwakke patchstrategie" hanteert. De onderzoeker vergelijkt het met de 'killbit' oplossing die Microsoft voor kwetsbare ActiveX-controls in het verleden hanteerde. In dit geval werd een kwetsbaar ActiveX-control via een killbit uitgeschakeld. Ook in dit geval filtert Microsoft gevaarlijke COM-objecten en is het wachten totdat er een nieuwe object wordt gevonden, die vervolgens weer wordt geblokkeerd. "Eenvoudig, maar niet proactief", aldus Haifei.