Office 2003, breccia in un ActiveX

Scoperta una vulnerabilitÓ di sicurezza in uno dei controlli ActiveX distribuiti da Microsoft insieme a Office 2003. La falla, attualmente senza patch, potrebbe essere utilizzata per diffondere malware via Web

Roma - La scorsa settimana sul sito milw0rm.com è stata divulgata una vulnerabilità di sicurezza contenuta in uno dei controlli ActiveX inclusi in Office 2003.

La falla riguarda l'Office Data Source Control 11 (owc11.dll) ed è causata un errore di buffer overflow nella funzione DeleteRecordSourceIfUnused. Per approfittare della falla un aggressore potrebbe creare una pagina web che, quando aperta con Internet Explorer, causi il crash del browser ed esegua del codice con gli stessi privilegi dell'utente locale.

Heise-security.co.uk spiega che la falla, attualmente ancora aperta, potrebbe essere sfruttata per la diffusione di malware. Il sito suggerisce di disattivare il controllo ActiveX incriminato (mediante impostazione del kill bit) o, soluzione più drastica, di disattivare in toto il motore ActiveX dalle opzioni di sicurezza di Internet Explorer.
Va detto che la pericolosità delle falle legate alla tecnologia ActiveX è notevolmente mitigata dalla presenza, nelle ultime versioni di IE, di meccanismi di sicurezza che impediscono l'esecuzione automatica dei controlli OCX.
2 Commenti alla Notizia Office 2003, breccia in un ActiveX
Ordina