Web – Chi non ha mai visto l’assistente digitale di Office? E ‘ quell’affarino a forma di clip che appare nelle prime esecuzioni delle applicazioni della suite da ufficio di Microsoft e che insiste ad apparire fino a quando non si agisce sulla sua configurazione. Beh, quel cosino pensato per aiutare i meno esperti nell’approcciare i diversi sistemi o accedere alla guida è bacato in Office2000, ovvero comprende un involontario bug di sicurezza. Questo consente ad un attaccante esperto di “rubare” il computer a chi viene attaccato. Ma il bug, ora, pare essere stato risolto.
A far emergere la cosa sono stati quelli di @Stake LOpht Research Labs secondo cui il problema essenziale risiede in un controllo ActiveX (UA Control) presente in Office2000.
Secondo l’analisi degli esperti di LOpht , l’interfaccia del controllo consente l’attivazione di pressoché qualsiasi script in Office2000, incluso l’abbassamento dei livelli di sicurezza per le macro. Uno script del genere può essere attivato da una pagina HTML visualizzata in una applicazione che ha attive le funzionalità di scripting, come accade di default su Internet Explorer e Outlook. Secondo quelli di LOpht, “con questo buco si può prendere letteralmente possesso della macchina di qualcuno, rubare i cookie, modificare qualsiasi file, impiantare software e via dicendo”.
Nel suo Security Bulletin Microsoft ha riconosciuto l’esistenza del baco e subito dopo ha realizzato una patch che consente di coprire il baco e di ristabilire sicurezza in Office 2000 e nelle sue applicazioni “chiave”: Word, Excel e PowerPoint.