Microsoft advarer om et «ekstremt kritisk» sikkerhetshull i Microsoft XML Core Services XMLHTTP ActiveX control.
Ifølge Secunia og US-CERT utnyttes hullet allerede for å angripe Windows-servere og -klienter. I verste fall kan maskinene overtas helt av utenforstående.
Microsoft gir detaljert veiledning om anbefalte forholdstiltak i denne sikkerhetsbulletinen: Microsoft Security Advisory (927892): Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution.
Det foreligger ennå ingen fiks for dette problemet.
Microsoft understreker at et angrep gjennom dette hullet bare kan lykkes dersom offeret aktivt oppsøker et nettsted med spesielt tilpasset ondsinnet kode. Standardkonfigurasjonene av de nyeste Outlook- og Outlook Express-klientene verner mot lenker i e-post, men kan lett forbigås av brukeren. Standardkonfigurasjonen av Internet Explorer på Windows Server 2003 hindrer kjøring av ActiveX, og verner følgelig mot dette hullet.
