Redmond (USA) - Questo mese gli amministratori di server Windows possono tirare un sospiro di sollievo. Dopo la
grandinata di patch piovuta loro addosso lo scorso febbraio, i quattro bollettini
Microsoft di marzo correggono esclusivamente vulnerabilità in Office, e interessano principalmente i sistemi client.
Sebbene
tutti i bollettini siano stati classificati come "critical", Microsoft sottolinea il fatto che la versione più aggiornata della propria suite per l'ufficio, Office 2007 Service Pack 1, non risulta vulnerabile ad alcuna delle dodici falle corrette questo mese.
La patch probabilmente più urgente è quella relativa alla vulnerabilità
CVE-2008-0081 di Excel, trattata nel bollettino
MS08-014:
come riportato da
US-CERT, questa debolezza
è già presa di mira da un trojan che si diffonde via email sotto forma di due allegati:
olympic.xls e
schedule.xls. Gli utenti a rischio sono quelli che utilizzano Excel 2000, 2002 e 2003 (esclusa la versione SP3), Excel Viewer 2003, e Excel 2004 per Mac. Excel 2007 ed Excel 2008 sono immuni al problema.
Le altre sei falle di Excel descritte nel bollettino MS08-014 riguardano, a seconda del caso, Office 2000, XP, 2003, 2007 e 2008 per Mac, e potenzialmente sono tutte sfruttabili per l'esecuzione di codice maligno contenuto all'interno di un file Excel (.xls) malformato.
Gli esperti considerano della massima gravità anche la
falla di Outlook corretta dal bollettino
MS08-015. Questa vulnerabilità può essere innescata attraverso un URI di tipo "mailto://", lo stesso utilizzato nelle pagine Web per far aprire automaticamente il client di posta elettronica: tale link può essere manipolato in modo tale che, se lo si apre con Outlook, il client va in crash ed esegue del codice maligno. L'unica versione non vulnerabile di Outlook è la 2008.
Altre
due vulnerabilità sfruttabili tramite file di Office malformati sono descritte nel bollettino
MS08-016: una riguarda Office 2003 SP2 e precedenti versioni, l'altra soltanto Excel Viewer 2003.
Infine, il bollettino
MS08-017 corregge
due falle in Office Web Components 2000, un insieme di classi OLE implementate come controlli ActiveX che possono essere inglobate all'interno delle pagine web. Un aggressore potrebbe trarre vantaggio da queste debolezze creando una pagina web ad hoc che, quando visitata, causa l'esecuzione di codice maligno. Tra le applicazioni interessate dal problema vi sono Office 2000, Office XP, Visual Studio.NET 2002/2003, BizTalk Server 2000/2002, Commerce Server 2000 e ISA Server 2000 SP2.
Il
riepilogo in lingua italiana dei bollettini di sicurezza di marzo è disponibile
qui, mentre
qui è possibile trovare la
matrice sinottica delle vulnerabilità e
qui una
tabella riassuntiva stilata da
SANS Institute.
Martedì BigM ha rilasciato anche il
primo aggiornamento per Office 2008 per Mac, il
12.0.1, che dovrebbe migliorare le performance e la stabilità.
Aggiornato anche Office 2004 per Mac, che raggiunge la versione
11.4.1.
Proprio mentre Microsoft pubblicava i suoi nuovi bollettini, su alcune mailing list di sicurezza sono state divulgate
due altre vulnerabilità che interessano le versioni 5 e 6 di Internet Explorer: secondo
quanto riporta SANS, i due bug potrebbero consentire ad un sito web maligno di eseguire certi comandi (come la cancellazione di file) o di autenticarsi su di un altro sito utilizzando le credenziali archiviate nella cache del browser. Apparentemente, gli utenti di IE7 non sono a rischio:
motivo in più, dice SANS, per aggiornare IE.
In questi giorni gli utenti di Windows devono prestare particolare attenzione anche ad un'
altra falla di sicurezza, questa volta legata ad un software non Microsoft: RealPlayer di
RealNetworks.
Il bug è contenuto nel controllo ActiveX rmoc3260.dll di RealPlayer 11 e versioni precedenti, e potrebbe essere sfruttato da un malintenzionato per eseguire del codice a distanza contenuto in una pagina web maligna. A rendere particolarmente pericolosa la debolezza interviene il fatto che, sebbene al momento non esista ancora una patch, sulla mailing-list
Full Disclosure è già apparso un exploit proof-of-concept.
In
questo advisory SANS suggerisce di disattivare il controllo ActiveX incriminato (attraverso il metodo del
killbit) oppure utilizzare un browser che non supporti la tecnologia ActiveX.