En frisk 0-dags sårbarhed, som påvirker en lang række versioner af Microsoft Office, er sat til salg hos "Inj3ctor". Sårbarheden bliver præsenteret som "Microsoft Office 2003/2007/2010 Command Execution 0day" og kan angiveligt fungere ved at lokke et offer til at klikke på et link, eller fremsende særligt udformede dokumenter. Det er således et yderst potent digitalt våben og særligt i de forkerte hænder.
Proof of Concept (PoC) sælges til en interesseret køber for den nette sum af 20,000 webmoney, hvilket er en "internet valuta" der matcher og følger amerikanske dollars.
Der er samtidig postet en demonstration på Youtube som angiveligt viser hvordan sårbarheden misbruges i praksis:
http://www.youtube.com/watch?v=pKhulHEFrR0.
Exploitet sælges af "1337Day Team". Samme gruppe eller individ har tidligere fundet og publiceret talrige sårbarheder via samme database.
Det er vigtigt at understrege at CSIS ikke har haft adgang til koden, og således ikke kan bekræfte om dette er reelt.
↧
CSIS Blog: 0-dags sårbarhed i Office?
↧