Redmond (USA) – Microsoft ha pubblicato quattro nuovi bollettini di sicurezza che correggono un totale di 10 vulnerabilità, quasi tutte potenzialmente sfruttabili per eseguire del codice da remoto. Tranne una, che interessa un componente di Internet Explorer, le falle sono contenute in Office.
Gli esperti di sicurezza sostengono che i problemi più rilevanti sono quelli descritti nei bollettini MS07-004 e MS07-003 , entrambi classificati da Microsoft come critici . Il primo contempla una vulnerabilità nell’implementazione del Vector Markup Language (VML) di Internet Explorer, un linguaggio XML utilizzato per creare immagini vettoriali da pubblicare sul Web. A rendere questa debolezza particolarmente pericolosa è l’esistenza di due exploit pubblici e la possibilità, per un malintenzionato, di compromettere un sistema remoto semplicemente inducendo un utente ad aprire una certa pagina web. L’apertura di un’immagine VML malformata, infatti, può causare l’esecuzione di codice dannoso con gli stessi privilegi dell’utente locale.
Questo è uno dei pochi problemi di sicurezza fino ad oggi scoperti in IE ad interessare, oltre alle versioni 5.x e 6, anche la 7.
La suddetta falla è simile a quella corretta da Microsoft lo scorso settembre. Dal momento che il linguaggio VML è utilizzato sempre più di rado, alcuni esperti suggeriscono agli utenti di eliminarlo dal sistema disattivando il componente vgx.dll . Per farlo è possibile impartire questo comando da Start/Esegui o da una finestra di shell:
regsvr32 -u “c:ProgrammiFile comuniMicrosoft SharedVGXvgx.dll” (se Windows è installato su un’unità differente da “c:”, cambiare il percorso di conseguenza).
Il secondo bollettino più grave, l’MS07-003, descrive invece tre vulnerabilità in Outlook 2000, 2002 e 2003. Delle tre la più pericolosa potrebbe consentire ad un cracker di confezionare un file Office Saved Searches (OSS), il formato utilizzato da Outlook per salvare le ricerche in cartelle virtuali, e convincere l’utente ad aprirlo usando tecniche di social networking. Il bug viene innescato quando Outlook processa il file “.oss” contenente codice maligno.
Da sottolineare come Outlook 2007 non sia interessato dal problema.
Il terzo bollettino “critico” è l’ MS07-002 , e contiene la correzione di 5 diverse vulnerabilità di Excel . I problemi riguardano Office 2000/2002/2003, Works Suite 2004/2005, e Office 2004/v.X per Mac. Ancora una volta Office 2007 risulta immune.
Tutti e cinque i bug possono essere sfruttati da un malintenzionato attraverso la creazione di un documento ad hoc che, una volta aperto con Excel, causa il crash dell’applicazione e l’eventuale esecuzione di codice.
Il bollettino MS07-001 , a cui Microsoft ha assegnato un livello di gravità “importante”, descrive infine una vulnerabilità nel correttore grammaticale portoghese brasiliano di Office 2003 che, in certe circostanze, può consentire l’esecuzione di codice in modalità remota. La falla, tuttavia, interessa esclusivamente gli utenti che hanno installato il suddetto dizionario.
Il sommario dei bollettini di gennaio si trova qui .
“Le patch emesse in questi giorni evidenziano ancora una volta che il volume delle vulnerabilità lato client che riguardano la piattaforma Windows non stanno diminuendo”, ha commentato Mauro Toson, Preseales Manager Symantec Italia . “Gli hacker sono in grado di sfruttare le vulnerabilità sempre più velocemente ed è fondamentale che gli utenti si proteggano installando le patch aggiornate il prima possibile”.
Per questa settimana Microsoft aveva inizialmente pianificato il rilascio di 8 bollettini di sicurezza , alcuni dei quali avrebbero dovuto correggere bug in Windows e Visual Basic. Negli ultimi giorni, però, il big di Redmond ha preferito rimandarne la pubblicazione a causa della necessità – così ha riportato un portavoce – di testare le patch in modo più accurato.
Tra i bug fix attesi ma non ancora rilasciati ci sono anche quelli relativi alle tre falle zero-day di Word emerse lo scorso mese.