Sicurezza, il martedý nero di Office

I quattro nuovi bollettini di sicurezza Microsoft riguardano quasi esclusivamente Office, e in modo particolare Excel e Outlook. Una debolezza viene giÓ sfruttata da un trojan

Redmond (USA) - Questo mese gli amministratori di server Windows possono tirare un sospiro di sollievo. Dopo la grandinata di patch piovuta loro addosso lo scorso febbraio, i quattro bollettini Microsoft di marzo correggono esclusivamente vulnerabilità in Office, e interessano principalmente i sistemi client.

Sebbene tutti i bollettini siano stati classificati come "critical", Microsoft sottolinea il fatto che la versione più aggiornata della propria suite per l'ufficio, Office 2007 Service Pack 1, non risulta vulnerabile ad alcuna delle dodici falle corrette questo mese.

La patch probabilmente più urgente è quella relativa alla vulnerabilità CVE-2008-0081 di Excel, trattata nel bollettino MS08-014: come riportato da US-CERT, questa debolezza è già presa di mira da un trojan che si diffonde via email sotto forma di due allegati: olympic.xls e schedule.xls. Gli utenti a rischio sono quelli che utilizzano Excel 2000, 2002 e 2003 (esclusa la versione SP3), Excel Viewer 2003, e Excel 2004 per Mac. Excel 2007 ed Excel 2008 sono immuni al problema.
Le altre sei falle di Excel descritte nel bollettino MS08-014 riguardano, a seconda del caso, Office 2000, XP, 2003, 2007 e 2008 per Mac, e potenzialmente sono tutte sfruttabili per l'esecuzione di codice maligno contenuto all'interno di un file Excel (.xls) malformato.

Gli esperti considerano della massima gravità anche la falla di Outlook corretta dal bollettino MS08-015. Questa vulnerabilità può essere innescata attraverso un URI di tipo "mailto://", lo stesso utilizzato nelle pagine Web per far aprire automaticamente il client di posta elettronica: tale link può essere manipolato in modo tale che, se lo si apre con Outlook, il client va in crash ed esegue del codice maligno. L'unica versione non vulnerabile di Outlook è la 2008.

Altre due vulnerabilità sfruttabili tramite file di Office malformati sono descritte nel bollettino MS08-016: una riguarda Office 2003 SP2 e precedenti versioni, l'altra soltanto Excel Viewer 2003.

Infine, il bollettino MS08-017 corregge due falle in Office Web Components 2000, un insieme di classi OLE implementate come controlli ActiveX che possono essere inglobate all'interno delle pagine web. Un aggressore potrebbe trarre vantaggio da queste debolezze creando una pagina web ad hoc che, quando visitata, causa l'esecuzione di codice maligno. Tra le applicazioni interessate dal problema vi sono Office 2000, Office XP, Visual Studio.NET 2002/2003, BizTalk Server 2000/2002, Commerce Server 2000 e ISA Server 2000 SP2.

Il riepilogo in lingua italiana dei bollettini di sicurezza di marzo è disponibile qui, mentre qui è possibile trovare la matrice sinottica delle vulnerabilità e qui una tabella riassuntiva stilata da SANS Institute.

Martedì BigM ha rilasciato anche il primo aggiornamento per Office 2008 per Mac, il 12.0.1, che dovrebbe migliorare le performance e la stabilità. Aggiornato anche Office 2004 per Mac, che raggiunge la versione 11.4.1.

Proprio mentre Microsoft pubblicava i suoi nuovi bollettini, su alcune mailing list di sicurezza sono state divulgate due altre vulnerabilità che interessano le versioni 5 e 6 di Internet Explorer: secondo quanto riporta SANS, i due bug potrebbero consentire ad un sito web maligno di eseguire certi comandi (come la cancellazione di file) o di autenticarsi su di un altro sito utilizzando le credenziali archiviate nella cache del browser. Apparentemente, gli utenti di IE7 non sono a rischio: motivo in più, dice SANS, per aggiornare IE.

In questi giorni gli utenti di Windows devono prestare particolare attenzione anche ad un'altra falla di sicurezza, questa volta legata ad un software non Microsoft: RealPlayer di RealNetworks. Il bug è contenuto nel controllo ActiveX rmoc3260.dll di RealPlayer 11 e versioni precedenti, e potrebbe essere sfruttato da un malintenzionato per eseguire del codice a distanza contenuto in una pagina web maligna. A rendere particolarmente pericolosa la debolezza interviene il fatto che, sebbene al momento non esista ancora una patch, sulla mailing-list Full Disclosure è già apparso un exploit proof-of-concept.

In questo advisory SANS suggerisce di disattivare il controllo ActiveX incriminato (attraverso il metodo del killbit) oppure utilizzare un browser che non supporti la tecnologia ActiveX.
10 Commenti alla Notizia Sicurezza, il martedý nero di Office
Ordina
  • Nessuno si sognerebbe mai di imporre un numero di telefono ai cittadini per comunicare con il Comune.... questi incapaci (e presuntuosi) invece pensano di imporre un indirizzo e-mail ! Un fallimento annunciato... con una nuova emorragia di soldi pubblici !
    non+autenticato
  • - Scritto da: Garlini Valter
    > Nessuno si sognerebbe mai di imporre un numero di
    > telefono ai cittadini per comunicare con il
    > Comune.... questi incapaci (e presuntuosi) invece
    > pensano di imporre un indirizzo e-mail ! Un
    > fallimento annunciato... con una nuova emorragia
    > di soldi pubblici
    Hai sbagliato articolo, mi pare. E comunque Comuni contattabili solo attraverso il centralino ce ne sono di sicuro. E pure quelli non contattabili... Ciao
    non+autenticato
  • Qualcuno usa ancora Office 97? io lo trovo meraviglioso: è una scheggia ad avviarsi (come un notepad!), non si pianta mai, occupa pochissimo spazio sul disco, è facile da usare, si installa in un attimo. E non escono mai patch.
    non+autenticato
  • - Scritto da: Garbet P.
    > Qualcuno usa ancora Office 97? io lo trovo
    > meraviglioso: è una scheggia ad avviarsi (come un
    > notepad!), non si pianta mai,
    A parte qualche file di Word, se non sbaglio?, ad esempio quelli con tabelle, specie se complesse.
    Problema peraltro comune anche alle successive versioni Word 2000 e 2002, almeno con i miei files è così. Ciao
    non+autenticato
  • non escono patch... forse perche' Microsof ha smesso di supportarlo, eh?
    non+autenticato
  • - Scritto da: Garbet P.
    > Qualcuno usa ancora Office 97? io lo trovo
    > meraviglioso: è una scheggia ad avviarsi (come un
    > notepad!), non si pianta mai, occupa pochissimo
    > spazio sul disco, è facile da usare, si installa
    > in un attimo. E non escono mai
    > patch.

    ci sono migliaia di persone che lo usano ancora.
    tutta la mia ditta lo usa ancora.
    ha una buona serie di bug, e presenta incompatibilità (una su tutte gli spazi nei nomi dei file e delle directories) con sistemi operativi da 2000 in poi ... ma i pro sono notevolmente superiori ai contro.

    strumenti così complessi si impara ad usarli *completamente* solo dopo tanti anni.

    trovo davvero stupida questa spinta alla corsa all'aggiornamento COMPLETO dei prodotti.

    se avessero corretto gli errori di office 97 e le vulnerabilità, comunque oggi avremmo tutti in mano uno strumento che abbiamo acquistato 10 anni fa, tanto come l'auto.

    Mifrozfk fa programmi, non auto. Però ti abbandona poco dopo averli rilasciati e ti spinge a nuovi acquisti.
    Non mi sta bene.

    Speriamo che OpenOffice maturi sempre più
    non+autenticato
  • heila', finalmente qualcuno si sveglia.
    si, M$ fa quattrini non perche fa buon software, ma perche costringe al cambiamenti continuo.... nuovo software, nouvi pc, dischi piu grandi, giga di memoria, etc etc.

    con un P3@1G si puo favorare benissimo, con un P2@400Mhz (esperienza pesonale) si puo continuare a lavorare decodosamente, a patto di usare soft leggero.

    Ma Vista vuole 2G per vunzionare degnamente.... follia pura.
    non+autenticato
  • i software di falle ne han tutti!!!
    non+autenticato
  • - Scritto da: kattle87
    > i software di falle ne han tutti!!!
    Si, ma non tutte le scelte sono uguali. Guarda tu la robustezza di OsX Mac (sono ANCHE un utente Mac),
    oppure il "problema" ActiveX, quanto ci ha fatto girare le scatole questa "scelta progettuale" di Microsoft. Ciao
    non+autenticato
  • Il Sw Microsoft è di qualità... ma soprattutto in questi casi la patch esce nel giro di... anni?

    Ahahah troppo lollosi i bollettini di sicurezza di Redmond... il più forte in assoluto è quello di Windows Home server che mangia i dati...

    HA HA HAH HA HAH la M$ sempre peggio va...
    non+autenticato