Řekněme si na začátku základní fakta. Existuje chyba, kterou lze zneužít, pokud uživatel otevře speciálně upravený soubor kancelářského balíku Office. Dobrou zprávou tedy je, že útočník nemůže takto napadnou počítač bez toho, aby se na tom uživatel aktivně nepodílel.
Potvrzuje to obecné pravidlo, že není rozumné otevírat takové soubory z neznámých zdrojů, i kdyby slibovaly titulky k nejnovějším filmům nebo lechtivé záběry známých osobnosti.
Přesto je to problém, protože lidé jsou omylní a nepozorní a jedním neopatrným kliknutím mohou dát všanc svůj počítač a jeho prostředky útočníkům.
O chybě informoval samotný Microsoft a varují před ní různé bezpečnostní organizace, jako je například americká Agentura pro kybernetickou a infrastrukturní bezpečnost.
Chyba je skryta v tom, jak systém zpracovává ActiveX prvky. Není to přitom poprvé, co se ActiveX dostal do hledáčku útočníků.
„Společnost Microsoft prověřuje zprávy o zranitelnosti vzdáleného spuštění kódu v MSHTML, která se týká systému Microsoft Windows ... Útočník může vytvořit škodlivý ovládací prvek ActiveX, který bude použit v dokumentu Microsoft Office, v němž je umístěn vykreslovací engine prohlížeče,“ varuje Microsoft.
V menším nebezpečí jsou uživatelé, kteří nejsou přihlášeni jako administrátoři, protože útočník si tímto způsobem nedokáže zvýšit práva a nemůže tak ovládnou celé PC.
Podle Microsoftu by měli být chráněni ti, kdo používají antivirus Microsoft Defender a Microsoft Defender for Endpoint, který by měl před otevřením takto závadného souboru varovat.