La scorsa settimana sul sito milw0rm.com è stata divulgata una vulnerabilità di sicurezza contenuta in uno dei controlli ActiveX inclusi in Office 2003.
La falla riguarda l’ Office Data Source Control 11 ( owc11.dll ) ed è causata un errore di buffer overflow nella funzione DeleteRecordSourceIfUnused . Per approfittare della falla un aggressore potrebbe creare una pagina web che, quando aperta con Internet Explorer, causi il crash del browser ed esegua del codice con gli stessi privilegi dell’utente locale.
Heise-security.co.uk spiega che la falla, attualmente ancora aperta, potrebbe essere sfruttata per la diffusione di malware. Il sito suggerisce di disattivare il controllo ActiveX incriminato (mediante impostazione del kill bit ) o, soluzione più drastica, di disattivare in toto il motore ActiveX dalle opzioni di sicurezza di Internet Explorer.
Va detto che la pericolosità delle falle legate alla tecnologia ActiveX è notevolmente mitigata dalla presenza, nelle ultime versioni di IE, di meccanismi di sicurezza che impediscono l’esecuzione automatica dei controlli OCX.
Ti potrebbe interessare
18 giu 2007