Redmond (USA) – Nella serata di ieri Microsoft ha pubblicato tre nuovi bollettini di sicurezza relativi ad altrettante vulnerabilità di sicurezza corrette in Windows e Office. Microsoft ha assegnato alle tre falle un grado di severità “critico” per via del fatto che possono potenzialmente consentire ad un aggressore di eseguire del codice da remoto.
Il primo bollettino, l’ MS05-035 , descrive una vulnerabilità in MS Word causata da un errore di tipo buffer overflow nel processo utilizzato da questa applicazione per gestire i font. Microsoft ha spiegato che un cracker potrebbe creare un documento malevolo che, se aperto, innesca la falla ed esegue del codice potenzialmente dannoso: ciò potrebbe consentire al malintenzionato di “prendere il completo controllo di un sistema vulnerabile”. I software interessati dal problema sono Office 2000 (Word 2000) e XP (Word 2002) e Works Suite 2000, 2001, 2002, 2003 e 2004: sono invece immuni Office 2003 (Word 2003 e relativo viewer).
Il secondo bollettino, l’ MS05-036 , riguarda una falla nel Microsoft Color Management Module di Windows causata da un bug nella gestione dei profili ICC (International Color Consortium). Un aggressore potrebbe indurre un utente a visitare una pagina web o aprire una e-mail contenenti un file d’immagine malformato. Risultano vulnerabili a questo baco praticamente tutte le versioni di Windows ancora supportate da Microsoft, dall’edizione 98 alla 2003.
L’ultimo bollettino, l’ MS05-037 , contempla invece una vulnerabilità nell’oggetto COM (Componet Object Model) JView Profiler ( Javaprxy.dll ) che, quando richiamato da Internet Explorer, può essere utilizzato da remoto per eseguire del codice sul sistema e prenderne il controllo. I sistemi a rischio sono tutti quelli dove gira Windows e una versione di Internet Explorer compresa tra la 5.01 e la 6.0.
Il FrSIRT ieri ha anche segnalato un buco di sicurezza “a basso rischio” in ASP.NET che potrebbe essere sfruttato per attacchi di tipo denial of service.