Wszystkie trzy usterki dotyczą komponentu arkusza kalkulacyjnego OWC (Office Web Components) - oprogramowania zapewniającego ograniczone funkcje Office w przeglądarce webowej bez potrzeby instalowania normalnego pakietu Office. OWC jest dostarczane z różnymi produktami Microsoftu ( także z właściwym Office ) i jest dostępne w postaci "download".

Waga tych usterek dla standardowych komputerów została przez Microsoft określona na poziomie "krytyczne", podczas gdy dla serwerów internetowych na "umiarkowane".

Zobacz również:

• Dlaczego warto aktualizować jądro systemu operacyjnego Linux?
• Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane

Najpoważniejsza z usterek dotyczy funkcji "Host()" komponentu arkusza kalkulacyjnego OWC. Napastnik może podjąć na PC dowolną akcję, taką jak jego użytkownik, wysyłając specjalnie spreparowaną pocztę elektroniczną w formacie HTML lub "zwabiając" użytkownika na stronę webową zawierającą specjalny kod HTML. Dwie pozostałe dotyczą metod "LoadText()" i "Copy()/Paste()". Ujawniają one pliki i zawartość schowka w systemie użytkownika. Napastnik może poznać lokalizacje plików i zawartość plików czytanych przez przeglądarkę.

Usterki dotyczą OWC 2000 i OWC 2002. Oprogramowanie to jest dostarczane z MS BackOffice Server 2000, BizTalk Server 2000/2002, Commerce Server 2000/2002, Internet Security and Acceleration Server 2000, Money 2000/2002, Office 2000/XP Project 2002, Project Server 2002 i Small Business Server 2000.

Łatki eliminujące tę usterkę są już dostępne. Użytkownikom Office XP Microsoft zaleca jednak zainstalowanie Office XP Service Pack 2. Zamiast instalować łatki można też sprowadzić z ośrodka webowego Microsoftu i zainstalować uaktualniony OWC (7 MB).