Redmond (USA) – La scorsa settimana, ad un solo giorno di distanza dalla pubblicazione dei bollettini di sicurezza di febbraio , Microsoft ha rilasciato un advisory relativo ad una nuova vulnerabilità zero-day di Word.
La falla, causata da un bug di tipo buffer overflow, interessa Office 2000 e Office XP e potrebbe essere sfruttata da un malintenzionato per eseguire del codice a propria scelta. Il codice maligno può essere inglobato all’interno di un documento Word appositamente creato per innescare il bug.
La vulnerabilità è stata segnalata il 9 febbraio a Microsoft da Dave Marcus, un ricercatore di sicurezza di McAfee Avert Labs che ha ricevuto l’exploit da un cliente della propria società. Marcus ha avvisato che su Internet circola già un documento maligno che, se aperto, tenta di scaricare e installare nel computer un trojan o un bot. Chi cade nella trappola rischia di vedersi rubare dati personali o di ingrossare le fila di quei sistemi zombie che, come parte delle cosiddette botnet , vengono utilizzati dai cracker come teste di ponte per attacchi di vario genere.
Microsoft ha detto che il proprio servizio gratuito Windows Live OneCare Safety Scanner è già in grado di rilevare l’exploit, inoltre si è impegnata a corregge il problema in uno dei suoi prossimi bollettini di sicurezza.
Quella appena scoperta è l’ ennesima vulnerabilità zero-day ad aver colpito la celebre suite per l’ufficio di Microsoft nel giro di pochi mesi. Va detto che nessuna di queste debolezze interessa il nuovo Office 2007.