Microsoft warnt vor einer möglichen Sicherheitsanfälligkeit im Microsoft Video-ActiveX Steuerelement (msvidctl.dll), die Remotecodeausführung ermöglichen kann.
Wird eine entsprechend präparierte Webseite mit dem Internet Explorer besucht, kann ein Angreifer die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Demzufolge würde ein Besuch derartiger Webseite durch einen Benutzer mit administrativen Benutzerrechten dem Angreifer die vollständige Kontrolle über das betroffene System ermöglichen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Betroffen von dieser Problematik sind Windows XP und Server 2003. Zumindest Nutzern dieser Betriebssysteme wird dringendst empfohlen die Unterstützung des Video-ActiveX Steuerelement im Internet Explorer zu deaktivieren. Auch wenn Windows Vista und Server 2008 nicht betroffen sein sollen, empfiehlt Microsoft dessen Nutzern aber ebenso die Deaktivierung.

Microsoft arbeitet derzeit an einem entsprechenden Sicherheitsupdate.
Bis zu dessen Veröffentlichung wird empfohlen, die Unterstützung des Video-ActiveX Steuerelement selbst zu deaktivieren, um die Problematik derart zu umgehen. Um dies zu erreichen stellt Microsoft ein "Fix It" Script auf folgender Webseite zur Verfügung: kb972890

Weitergehende Informationen dazu finden sich in der Sicherheitsempfehlung 972890