Falla zero-day, molti utenti Word a rischio

Microsoft ha rivelato l'esistenza di una nuova vulnerabilitÓ di sicurezza, giÓ sfruttata da un exploit pubblico, contenuta in un componente utilizzato da Word. Vista Ŕ immune al problema

Redmond (USA) - Microsoft ha avvisato i propri utenti della presenza, su Internet, di un exploit capace di bucare le difese di molti sistemi Windows in cui sia installato Word.

La falla non riguarda direttamente il famoso word processor di Office, bensì il componente esterno Microsoft Jet Database Engine (Msjet40.dll), utilizzato da Word e altre applicazioni per Windows per accedere ai database. BigM ha spiegato che il bug, di tipo buffer overflow, è stato fino ad oggi utilizzato in "un limitatissimo numero di attacchi", ed al momento è ancora privo di correzione.

La debolezza può essere sfruttata ad un aggressore attraverso la creazione di un file di Word che, quando aperto con un sistema vulnerabile, causa il crash dell'applicazione ed esegue del codice con gli stessi privilegi dell'utente locale.
Il problema interessa tutte le versioni ancora supportate di Word, dalla 2000 alla 2007, ma può essere sfruttato solo in Windows 2000, Windows XP o Windows Server 2003 SP1. Possono invece continuare a dormire sonni tranquilli i possessori di Windows Vista e Windows Server 2003 SP2, due sistemi operativi che includono una versione di Msjet40.dll non vulnerabile (4.0.9505.0 o superiore).

Per verificare la versione del Jet Database Engine installato nel proprio sistema è possibile cercare il file Msjet40.dll (generalmente ce n'è più d'uno), cliccarci sopra con il tasto destro del mouse e selezionare le voci Proprietà -> Versione: sui PC redazionali con Windows XP SP2 e Office 2007 la versione del componente è la 4.0.8618.0.

Il Jet Database Engine è utilizzato, oltre che da Word, anche da Access, Excel, Visual Basic e Internet Information Server: al momento sembra che Word sia il solo vettore d'innesco della vulnerabilità, ma il big di Redmond sta ancora completando le proprie indagini. A seconda della gravità del problema, Microsoft potrebbe decidere di rilasciare una patch prima della pubblicazione dei bollettini di sicurezza mensili (programmati per l'8 aprile). Nel frattempo, l'azienda e gli esperti di sicurezza raccomandano agli utenti di aprire solo i documenti provenienti da persone o siti di fiducia.
102 Commenti alla Notizia Falla zero-day, molti utenti Word a rischio
Ordina
  • Chi per forza o per amore, deve leggere e stampare velocemente un file .DOC e non ha (e/o non vuole) Word, installa il viewer.

    Orbene, io ho trovato un po' di msjet40.dll e non mi sento tranquillo, perche' e' la versione 9.025 e qualcosa.
    Pur non avendo traccia di Word, nel mio sistema.

    C'e' in giro una proof of concept da scaricare, per provare la vulnerabilita'?
  • ce l'ho pure io su un pc
    il colmo però che non ho M$ office

    se si è paranoici a sto punto si cancella tal file dalle 2 cartelle e lo si salva da qualche parte oppure lo si comprime direttamente li dentro per recuperarlo in caso di problemi e si continua a usare openoffice tranquillamente
  • levalo e tieniti un qualcosa tipo openoffice portable

    non mi sembra complicato e ti levi il problema
    non+autenticato
  • - Scritto da: bowlingbpsl
    > Orbene, io ho trovato un po' di msjet40.dll e non
    > mi sento tranquillo, perche' e' la versione 9.025
    > e
    > qualcosa.
    > Pur non avendo traccia di Word, nel mio sistema.

    ╚ un componente installato di default in Windows (a partire da Windows 98 mi pare), è un gran vantaggio per i software di terze parti perché così c'è un motore di database preinstallato in tutti i computer con Windows e non è necessario installarlo separatamente.
    non+autenticato
  • - Scritto da: Linaro
    > - Scritto da: bowlingbpsl
    > > Orbene, io ho trovato un po' di msjet40.dll e

    > ╚ un componente installato di default in Windows
    > (a partire da Windows 98 mi pare), è un gran

    Infatti, mi pare di averne trovato traccia nel CD di installazione di W2000.

    > vantaggio per i software di terze parti perché
    > così c'è un motore di database preinstallato in
    > tutti i computer con Windows e non è necessario
    > installarlo separatamente.

    Niente in contrario, ma se e' vulnerabile, significa che anche i NON utenti Word, sono a rischio.
    Anzi, sono a rischio tutti gli utenti windows. Se non ho capito male.

    Sto scaricando TextMaker (grazie a chi me l'ha suggerito), ma avere un componente forse vulnerabile nel sistema, non mi fa sentire tranquillo.
    Quanto ad Openoffice, mi sembra come usare una Ferrari per andare al bar: mi basta visualizzare e stampare un file doc (il bilancio del commercialista, un volantino e cosi' via).   Non mi trovo bene con openoffice, forse non gli ho dedicato abbastanza attenzioni.
  • - Scritto da: bowlingbpsl
    > Chi per forza o per amore, deve leggere e
    > stampare velocemente un file .DOC e non ha (e/o
    > non vuole) Word, installa il
    > viewer.

    Per la cronaca non esiste solo "quel" viewer, quello di TextMaker, ad esempio, è molto buono:

    http://www.officeviewers.com/
  • Office97 è afflitto o è immune?
    non+autenticato
  • - Scritto da: totto
    > Office97 è afflitto o è immune?

    Ma tipo leggere gli articoli?
    "Il problema interessa tutte le versioni ancora supportate di Word, dalla 2000 alla 2007"

    Ti sembra che Office97 sia incluso nel range 2000-2007?
    non+autenticato
  • ... non per cercare il pelo nell'uovo... Nell'articolo si dice chiaramente che l'exploit consente di eseguire codice con gli stessi privilegi dell'utente loggato localmente. Dove sta scritto che l'utente deve avere privilegi di amministratore?Occhiolino Voglio dire, lo so che esistono "pazzoidi" che lasciano tutti gli utenti con privilegi di amministratore, ma se si è loggati come utente normale certi disastri sono evitabili.

    My five cents. Fan Linux
    -----------------------------------------------------------
    Modificato dall' autore il 25 marzo 2008 04.15
    -----------------------------------------------------------
  • peccato che quasi tutti i programmi rilasciati dalla nostra efficiente PA richiedono un utente con privilegi di amministratore per alcune funzioni essenziali e che la totalità dei "tecnici" se trovano un utente limitato la prima cosa che fanno è riportarlo a livello di amministratore "perché così va meglio, dottò, non si preoccupi".
    Per non dire dei tanti applicativi contabili commerciali che impongono di lavorare da amministratore.

    Hai scoperto l'uovo di colombo purtroppo.
    non+autenticato
  • posso capire windos, a volte lo devi usare per forza, ma office proprio non lo capisco. ormai sono due anni che non lo uso, neanche se me lo regalano con crack incluso, che senso ha?
    un conto è il super specialista che lo usa per compiti specifici perché open office non fa la stessa cosa, ma questo l'ho solo sentito dire, credo sia una leggenda metropolitana, nelle pa e aziende che in cui ho lavorato l'uso era a dir poco elementare, dal dirigente a quello allo sportello.

    avete mai visto un uso di office veramente efficace? in che ambito?
    per il 90% dei casi basterebbe abiword, gnumeric e simili.
    non+autenticato
  • - Scritto da: garretto

    > avete mai visto un uso di office veramente
    > efficace? in che
    > ambito?
    > per il 90% dei casi basterebbe abiword, gnumeric
    > e
    > simili.

    alcuni maniaci dell'ecologia sostengono che l'uso dell'auto (dell'auto di lusso poi) è inutile: meglio andare in bicicletta. alcuni usano i SUV per percorrere pochissimi chilometri di strada che potrebbero essere altrimenti percorsi a piedi o in bicicletta.

    mi chiedo come vai in giro tu. e quale mezzo di locomozione sogni di possedere. una bicicletta, una comunissima Panda o una sfrecciante Ferrari?

    sveglia: viviamo in una società dove il superfluo è diventato essenziale!
    non+autenticato
  • Hai sicuramente ragione se ti rifarisci a chi usa Office solo per scrivere qualche documento Word.
    Ma, ad esempio, mi risulta che per gestire e modificare correttamente file .mdb (a meno di non eseguire conversioni e riconversioni) sia disponibile soltanto MS Access (soprattutto se poi questi mdb vengono poi utizzati da altri applicativi non Microsoft). E ti assicuro quindi che anche se hai un piccolo negozietto sei obbligato ad avere Office Professional (con regolare licenza!).
    non+autenticato
  • - Scritto da: garretto
    > posso capire windos, a volte lo devi usare per
    > forza, ma office proprio non lo capisco. ormai
    > sono due anni che non lo uso, neanche se me lo
    > regalano con crack incluso, che senso
    > ha?
    [...]

    Hai ragione, ma vallo a spiegare a un sacco di datori di lavoro.
    Funz
    12995
  • Ma se M$ sta vendendo l'office2007 per casa con 3 licenze al prezzo di 1
    qualcuno tentato lo trova sempre
  • purtroppo non è una leggenda metropolitana...

    esistono veramente aziendine con "gestionali" (le virgolette sono obbligatorie) casalingi ottenuti con un miscuglio orribile di excel e access... inutile specificare che l'"applicazione" risultante ha un livello di portabilità pari a 0 e il "database" utilizzato non segue nessuna forma normale.

    tutte cose nate perchè al momento il "factotum" tecnologico aziendale era una persona con competenze limitate a questi prodotti, e un "gestionale" fatto a quel modo è comunque meglio che tenere tutto a mano (o almeno, credono che sia meglio. alla prima corruzione dei dati/ tentativo di migrazione miseramente fallito) se ne riparla.

    comunque in generale hai ragione, almeno IMHO. per quanto ho visto io, nell 80% delle realtà aziendali che conosco office potrebbe essere sostituito senza troppi problemi. esiste comunque un 20% che lo utilizza in modo... non facilmente sostituibile.
  • - Scritto da: garretto
    > posso capire windos, a volte lo devi usare per
    > forza, ma office proprio non lo capisco. ormai
    > sono due anni che non lo uso, neanche se me lo
    > regalano con crack incluso, che senso
    > ha?
    > un conto è il super specialista che lo usa per
    > compiti specifici perché open office non fa la
    > stessa cosa, ma questo l'ho solo sentito dire,
    > credo sia una leggenda metropolitana, nelle pa e
    > aziende che in cui ho lavorato l'uso era a dir
    > poco elementare, dal dirigente a quello allo
    > sportello.
    >
    > avete mai visto un uso di office veramente
    > efficace? in che
    > ambito?
    > per il 90% dei casi basterebbe abiword, gnumeric
    > e
    > simili.


    Il problema è l'usabilità. non ho ancora provato office2007, cercherò di farlo al più presto. Però ti assicuro che fra office xp e OOo c'è una differenza di usabilità abissale. sarà l'abitudine, sicuramente, ma OOo è arrivato dopo, e dovrebbe cercare, per un passagigo indoloroe il più possibile, di rendere i menu e le opzioni del menu contestuale quanto più simili a office... e mi riferisco anche soloi all'ordine delle voci di menu. Fra l'altro per alcune cose è piuttosto indietro, OOo. Ad esempio, la formattazione del testo non sempre riesce benissimo (è un problema annoso dell'odf: a volte basta cambiare os, ad esempio OOo per linux e mettere quel file su win, aperto ocn OOo a volte, non so perchè, mi si sputtana l'impaginazione).
    non+autenticato
  • Sono sempre peggio..

    e sono sempre piu' nella m....

    E scrivono spazzatura ogni giorno piu' incredibile..

    Ma che schifezza di software house..

    La peggiore al mondo, direi..
    non+autenticato
  • - Scritto da: andrea
    > Sono sempre peggio..
    >
    > e sono sempre piu' nella m....
    >
    > E scrivono spazzatura ogni giorno piu'
    > incredibile..

    Sembra la descrizione di Linux! Rotola dal ridere

    > Ma che schifezza di software house..

    Mai quanto il vostro colabrodo di SO! Rotola dal ridere

    > La peggiore al mondo, direi..

    No, ti sbagli, non esiste peggior cosa al mondo che Linux! Rotola dal ridere
    non+autenticato
  • - Scritto da: Pinco Pallino
    > No, ti sbagli, non esiste peggior cosa al mondo
    > che Linux!
    > Rotola dal ridere
    Escludendo i rosiconi concordo...A bocca aperta
    non+autenticato
  • Che dovremmo rosicare? Non esiste un programma che su Windows non esiste, anzi chi ha windows ha pagato per averlo(io per esempio). Linux manco gratuito ci entra nel pc! Quando ero ragazzo ne avevo una fissazione, cresendo si capiscono tante cose.
    non+autenticato
  • Dal tuo post deduco che devi aver provato una versione *RECENTISSIMA* di una qualsiasi distro Linux
    non+autenticato
  • - Scritto da: Pinco Pallino
    > No, ti sbagli, non esiste peggior cosa al mondo
    > che Linux!
    > Rotola dal ridere

    argomentare prego...
  • - Scritto da: Pinco Pallino

    > No, ti sbagli, non esiste peggior cosa al mondo
    > che Linux!
    > Rotola dal ridere

    Ma impara a scrivere... che Linux...
    non+autenticato
  • Più che altro è il messaggio è forte e chiaro

    DOVETE passare a Vista
  • - Scritto da: andrea
    > Sono sempre peggio..
    >
    > e sono sempre piu' nella m....
    >

    Si, in effetti la ms è sul lastrico.

    > E scrivono spazzatura ogni giorno piu'
    > incredibile..
    >

    Guarda, un mio amico (decisamente più capace di me, e anche sostenitore accanito dell'open source) sostiene, e non vedo motivo di non credergli, visto che ha analizzato pezzi di codice, che ubuntu è una distro che è assemblata con i piedi: le cose le fanno funzionare con un metodo piuttosto brutale.

    > Ma che schifezza di software house..
    Già, molto meglio la sun, eh.

    >
    > La peggiore al mondo, direi..
    Io pensavo fosse la aplle. Ma evidentemente non sei informato.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)