Die von Secunia aufgespürte Schwachstelle ist auf einen noch nicht näher spezifizierten Fehler in XMLHTTP 4.0 ActiveX Control, einem Bestandteil von Microsofts XML Core Services 4.0, zurückzuführen. Wie der Sicherheitsanbieter in einem Advisory warnt, lässt sich das von ihm als "extrem kritisch" eingestufte Sicherheitsleck dazu ausnutzen, beliebigen Code auf dem Opfersystem auszuführen, wenn der Nutzer via Internet Explorer eine entsprechend manipulierte Web-Seite aufsucht.

Laut Secunia wird die Schwachstelle bereits aktiv ausgenutzt. Microsoft hat die Sicherheitslücke mittlerweile in einem eigenen Advisory bestätigt und ein Security-Update angekündigt. Neben einer Reihe von Workarounds empfiehlt der Softwarekonzern, ActiveX vorläufig zu deaktivieren.

Erst in der vergangenen Woche hatte Secunia ein kritisches Leck in Microsofts IDE "Visual Studio 2005" gemeldet, für das ebenfalls ein ActiveX-Control-Fehler verantwortlich ist. (kf)