Lo scorso week-end FrSIRT ha riportato una seria vulnerabilità di MS Office e due falle più lievi di Internet Explorer: la prima è stata classificata con un livello di rischio “critical”, mentre le ultime due sono state valutate di basso rischio.
La vulnerabilità di Office potrebbe essere utilizzata da un aggressore per far crashare Word o acquisire il completo controllo di un sistema remoto: per riuscirci. il cracker deve però indurre un utente ad aprire un documento “.doc” creato in un certo modo.
La falla è legata ad un errore nella gestione di certi documenti malformati da parte della libreria mso.dll di Office: tale errore, se innescato da un malintenzionato, può causare l’esecuzione di codice maligno.
Il problema interessa le edizioni 2000, 2002 e 2003 di Word e, attualmente, è priva di patch.
Prive di patch anche le due vulnerabilità che interessano Internet Explorer, entrambe utilizzabili per causare il crash del browser. Le debolezze, di cui una interessa solo IE6 SP1 e l’altra tutte le versioni ancora supportate di IE, sono state scoperte dall’esperto H.D. Moore, lo stesso che due settimane fa aveva annunciato l’intenzione di pubblicare, per tutto il mese di luglio, una vulnerabilità al giorno relativa ai browser web. Sul blog di Moore è possibile trovare i dettagli delle due falle corredati dal relativo exploit proof of concept.
Ti potrebbe interessare
11 lug 2006