Scoperte quattro vulnerabilità in Microsoft Office

Scoperte quattro vulnerabilità in Microsoft Office

Check Point Research ha scoperto quattro vulnerabilità in Office, tre delle quali già risolte, mentre la patch per la quarta verrà distribuita stasera.
Scoperte quattro vulnerabilità in Microsoft Office
Check Point Research ha scoperto quattro vulnerabilità in Office, tre delle quali già risolte, mentre la patch per la quarta verrà distribuita stasera.

Gli esperti di Check Point Research hanno scoperto quattro vulnerabilità nella suite Microsoft Office che permettono di eseguire codice infetto attraverso Excel, Word, Outlook e altre applicazioni. Tre vulnerabilità sono state già risolte dall’azienda di Redmond con le patch rilasciate lo scorso 11 maggio, mentre la quarta falla di sicurezza verrà chiusa con la patch in arrivo questa sera.

Bug in Office: il colpevole è MSGraph

Check Point Research ha trovato le vulnerabilità nel componente MSGraph utilizzato per visualizzare grafici e tabelle. Per scoprire i quattro bug è stata sfruttata una tecnica nota come fuzzing che svela la presenza di errori di programmazione nei software attraverso input di dati inattesi.

Secondo Check Point Research, le vulnerabilità possono essere sfruttate per eseguire codice infetto nascosto in file Word, Excel e Outlook. Una delle modalità di attacco prevede il download di un file XLS da un sito web o in allegato alla posta elettronica. Dato che in ogni applicazione di Office è possibile inserire oggetti Excel, il rischio per l’utente è notevolmente maggiore.

In particolare, le vulnerabilità sono dovute ad errori di parsing nel codice legacy per i file nel formato Excel 95. I ricercatori di Check Point credono quindi che il problema di sicurezza fosse presente da molti anni. Come detto, tre bug (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179) sono stati già corretti. Per il quarto (CVE-2021-31939) si deve attendere il Patch Tuesday di questa sera.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
8 giu 2021
Link copiato negli appunti