A Microsoft kiadott biztonsági közleménye alapján csupán két biztonsági rést foltoz be termékeiben a redmondi szoftvercég a jövő heti, havonta esedékes patch-keddjén. Az áprilisi 25 sebezhetőséget orvosló csomagjuk után így a májusi hibajavítás nem nevezhető túl mozgalmasnak. Az érintett két rés az Office irodai programcsomagban, valamint a hozzá kötődő Visual Basic fejlesztői környezetben és a Windows operációs rendszerekben található meg.
Mindkét sérülékenység kritikus minősítést kapott, mivel távoli kódfuttatásra alkalmasak, amely kihasználásával a támadók átvehetik a felhasználó gépe felett az uralmat, annak tudta és beleegyezése nélkül. A Microsoft operációs rendszerei közül mindegyik érintett. Azaz a Windows 2000, az XP, a Vista, a Windows Server 2003, a Windows Server 2008, valamint a Windows 7 és a Windows Server 2008 R2 is megkapja majd a maga foltját. Igaz utóbbi két platform esetén csak közepesen súlyos besorolást kapott a sérülékenység.
A második rés viszont csak a Microsoft Visual Basic fejlesztői környezetnél kapott kritikus minősítést, míg az irodai programcsomag XP, 2003-as és 2007-es verziójánál csak közepesen súlyos hibáról beszélhetünk. A májusi jelentés a következőképpen épül fel:
- Közlemény 1: Kritikus (Távoli kódfuttatás), Windows
- Közlemény 2: Kritikus (Távoli kódfuttatás), Office és Visual Basic for Applications
A SharePoint Server 2007 és a SharePoint Services 3.0 múlt héten napvilágra került sérülékenysége azonban a kiadott közlemény alapján továbbra is befoltozatlan marad. Annak ellenére, hogy a csoportmunka megoldás rése meglehetősen veszélyes, mivel XSS (cross-site scripting) alapú támadásokra ad lehetőséget. Ezek során a támadóknak azt kell elérniük, hogy a felhasználó rákattintson egy speciálisan összeállított hivatkozásra, amelyet ha megtesz, adatok szivároghatnak ki az érintett rendszerekből, ráadásul a jogosulatlan adatmódosításnak is megvan az elvi lehetősége.
