Según Guniske, el agujero de seguridad hace posible hospedar en la Web un documento de Word que señala a una base de datos de Access conteniendo un código dañino de Visual Basic que está en condiciones de borrar archivos, enviar información personal a otras computadoras o provocar una interrupción en el sistema.
El problema es que MS Word acepta una base de datos Access como un dato fuente en el Mail Merge, escribió Georgi Guniski, quien descubrió el hoyo.
Por el momento no se tiene conocimiento de víctimas de problema de seguridad. Sin embargo, se señala que cualquier usuario que reciba un correo electrónico con un enlace de hipertexto o visite un sitio Web que hospede un documento Word diseñado para señalar a una base de datos Access que contenga el código dañino podría ser susceptible.
La vulnerabilidad se produce al tener instalado Access en la computadora del usuario o en su red local, y que este luego visite el sitio web maligno o se vincule a este vía correo electrónico.
De igual modo, se señala que si el usuario tiene activa la función Office Document Open Confirmation Tool, se le preguntará si se debe o no abrir el documento Word. Por el contrario, si el usuario no tiene la herramienta, la función Mail Merge en Word sería usada para abrir la base de datos Access y el código entraría en función.
Microsoft se encuentra estudiando el problema y posiblemente publique un código reparador dentro de los próximos días.
