O Access é uma ferramenta comum aplicada em redes corporativas, mas que pode ser usada para construir sites com códigos maliciosos devido à vulnerabilidade do comando ActiveX (plug-ins que adicionam funcionalidades aos programas da Microsoft) chamado Snapshot Viewer para Microsoft Access. A partir desse comando, um cracker poderia construir um website com um código malicioso que seria ativado quando o usuário acessar a página. Com isso, o invasor poderia, por exemplo, obter os mesmos privilégios de acesso do usuário logado e roubar dados sigilosos. A Microsoft ainda não divulgou quando serão feitas correções do problema, mas é possível configurar o seu navegador para avisar quando uma página está tentando executar um comando ActiveX. No Internet Explorer, entre em Ferramentas > Opções da Internet > Segurança > Internet > Nível personalizado e altere as configurações para avisar na execução de um controle ActiveX.

Você também pode contornar o problema atualizando o navegador para o IE7, que já vem com a opção ativada. Usuários do Firefox não têm com o que se preocupar, pois o navegador da Mozilla não possui suporte nativo para controles ActiveX porque é um comando da Microsoft.

Para utilizar a vulnerabilidade, o cracker precisaria persuadir o usuário a visitar uma página com o código comprometido. Páginas que aceitam contribuições de usuários também podem hospedar o código malicioso. O Microsoft Access é parte dos pacotes Office Professional desde a versão 4.3 Pro. A vulnerabilidade só afeta as versões 2000, 2002 e 2003 do programa.

Boletim mensal de segurança

O boletim de segurança da Microsoft de julho sai nesta terça-feira e a empresa adiantou que ele incluirá quatro correções para os programas Windows, Exchange e SQL, todas classificadas como importantes.

A falha no Windows permite que crackers rodem códigos não autorizados pelo usuário. Já as vulnerabilidades no Exchange e no SQL são bugs de "elevação de privilégio", que permitem a exploração da falha para conseguir privilégios de administrador no PC atacado. As brechas não afetam usuários do Windows 2000, XP, Vista, Server 2003 e Server 2008.

O pacote de correções é liberado mensalmente pela Microsoft e normalmente inclui uma série de atualizações importantes para a segurança do usuário.