A Vupen Security nevű biztonsági cég azt állítja, megtalálta a módját, hogyan lehet kártékony kódot futtatni az Excel legújabb változatában, de a sebezhetőség részleteit nem akarja megosztani a Microsofttal, csak saját ügyfeleivel.

A Vupen elemzői szerint ugyan az Office 2010 biztonságosabb, mint az előző verziók, de ebben is megvan a módja annak, hogy a kártékony kódok futtatását és a fájlok hitelesítését végző beépített funkciókat (Data Execution Prevention, röviden DEP, és Office File Validation) megkerülje a támadó. A cég munkatársai egy memóriakezelési hibát tudtak előidézni, először az Excelben, majd a Wordben is, ami sebezhetővé teszi az irodai programokat.

A Vupen azonban nem akarja felfedni a hiba pontos részleteit a Microsoftnak, csupán saját, kormányzati előfizetőivel osztja meg azt, azzal az egyértelmű szándékkal, hogy maga keressen pénzt a megoldásból. A Microsoft az eWeek beszámolója szerint tudja, hogy a Vupen Security megtalálta a sebezhetőségeket, de saját munkatársai még nem ismerik ezeket, és el is ítélik annak döntését a titkolózásra. A hiba részletei ugyanis így is kiszivároghatnak a kormányzati szervektől még azelőtt, hogy a Microsoft javítani tudná őket.

A biztonsági cég azzal védekezik, hogy az Office sebezhetőségét jelentős befektetés árán, több hetes munkával találta meg, ezért tekinti azt saját tulajdonának. A Vupen másik érve, hogy egyébként együttműködik a Microsofttal: január óta több mint 180 hibát vagy kritikus sebezhetőséget jelentettek a szoftvercégnek, amire az Office-ban vagy az Internet Explorerben bukkantak rá.