Roma – Il noto esperto di sicurezza Georgi Guninski, perennemente impegnato a scovare bachi nel software proprietario, pare non essersi concesso riposo nemmeno la domenica di Pasqua, giorno in cui ha rilasciato un nuovo avviso di sicurezza riguardante Office XP.
La prima delle due vulnerabilità descritte nel “bollettino pasquale” del celebre bug hunter affligge Outlook XP e rende possibile, secondo quanto riportato da Guninski, l’inserimento, all’interno di una e-mail HTML, di uno script in grado di lanciarsi in automatico non appena un utente risponde alla e-mail o la inoltra verso un altro indirizzo. Il cacciatore di bachi spiega che questa falla potrebbe essere sfruttata per diversi scopi, fra cui l’apertura automatica di una certa pagina Web.
La seconda vulnerabilità riguarda invece una funzione contenuta in un componente che offre alcune funzionalità base di Excel. Secondo l’esperto bulgaro questa funzione, il cui nome è Host() , contiene un baco che può essere sfruttato attraverso la falla descritta in precedenza o, in alternativa, mediante documenti aperti con altre applicazioni di Office.
“Questa funzione bacata – spiega Guninski – permette la creazione di file con nome arbitrario e contenuto vario, solo quello sufficiente per infilare un file eseguibile “.hta” nella directory di avvio dell’utente, cosa che potrebbe portare a prendere il pieno controllo del computer di un utente”.
Guninski, che insieme alla descrizione delle due vulnerabilità ha pubblicato anche il codice per sfruttarle, sostiene di aver avvisato Microsoft il 17 marzo. “Hanno avuto 2 settimane per produrre una patch – scrive Guninski – ma non lo hanno fatto”. Un’accusa pesante che arriva in un momento molto caldo del dibattito sulla pubblicazione dei dettagli delle vulnerabilità del software proprietario, dibattito innescato proprio da Microsoft, che vorrebbe una maggiore “catuela” sulla pubblicazione di certe informazioni.
Per risolvere il problema, Guninski suggerisce agli utenti di “disabilitare qualsiasi cosa contenga la parola Active in IE” e “deregistrare e cancellare il componente del foglio di calcolo di Office”.