Sicurezza/ Pericoloso buco per Office 2000

Nei giorni scorsi è stato annunciato un nuovo buco di sicurezza di Office 2000 che potrebbe rappresentare un grave rischio per l'utente se dovesse essere sfruttato da creatori di virus o webmaster senza scrupoli. Ecco come difendersi

Mentre la notizia di smembramento di Microsoft in due tronconi diventa ufficiale, le notizie sui buchi della serie "2000", dal sistema operativo agli applicativi, sembrano moltiplicarsi in maniera esponenziale e, se consideriamo l'importanza che hanno questi buchi, c'è da chiedersi se il futuro di Microsoft sia quello di produrre un gran numero di patch correttive al posto di nuovi prodotti.

Proprio mentre stavo preparando un nuovo articolo, vedo arrivare in mailbox un avviso che riguarda tutta la categoria dei prodotti di Office:

- Word 2000
- Excel 2000
- PowerPoint 2000
- Access 2000
- Photodraw 2000
- FrontPage 2000
- Outlook 2000
- Publisher 2000
- Works 2000 Suite
Dove ricade il problema? Guarda caso, su uno dei famigerati controlli ActiveX, più precisamente sul controllo chiamato "Microsoft Office 2000 UA ActiveX": questo è stato incorrettamente segnato come "safe for scripting" e potrebbe quindi dar modo ad un intruso (virus od altro codice malizioso) di disabilitare gli avvisi di macro in azione e successivamente fare "man bassa" nel sistema laddove ActiveX e macro lo consentono. Questa debolezza di Office 2000 può essere sfruttata da malintenzionati all'interno di worm virus allegati a messaggi di posta elettronica o newsgroup, oppure all'interno di pagine Web.

Per i non addetti ai lavori un ActiveX è un controllo altamente portabile (che può girare su più piattaforme) di oggetti Component Object Model (COM) utilizzati su estensioni del sistema Windows e su applicazioni Web realizzate appositamente.

I controlli ActiveX possono essere inseriti nel contesto HTML con il marcatore , in cui si inserisce il codice ActiveX corrispondente. Nel caso il controllo non sia installato nel sistema, si può inserire nel marcatore l'URL dove può essere reperito e, una volta trovato, il controllo verrà installato automaticamente nel sistema.
Da lì in poi un possibile intruso potrà controllare l'ActiveX come meglio vorrà.

Certo, gli ActiveX possono essere firmati consentendo all'utente di approvare oppure no l'esecuzione di codice proveniente da autori sconosciuti, purtroppo abbiamo visto proprio su queste stesse pagine come sia possibile inserire ActiveX pericolosi senza che l'utente se ne accorga.

Per ogni informazione a riguardo potrà essere utile leggere queste pagine nel sito di Microsoft:

http://www.microsoft.com/Com/resources/oleview.asp
http://www.microsoft.com/com
TAG: sicurezza