Ieri, lo stesso giorno in cui ha corretto una pericolosa vulnerabilità legata alla tecnologia ActiveX, Microsoft ha rivelato l’esistenza di un’altra seria falla zero-day in un componente ActiveX. Secondo gli esperti di sicurezza si tratta della terza debolezza scoperta in un controllo ActiveX nell’arco di soli 60 giorni.
L’ultima vulnerabilità, illustrata in questo advisory , riguarda i Microsoft Office Web Components (OWC), una serie di controlli ActiveX opzionali che fanno parte dell’installazione standard di Office XP/2003, BizTalk, ISA Server e Office Accounting and Business Contact Manager, e possono essere installati – come pacchetto opzionale scaricabile da Internet – anche in Office 2007 (la cui vulnerabilità non è però ancora stata accertata).
Lo scenario di attacco è classico : una pagina web o un documento HTML che, una volta aperti in Internet Explorer, eseguono del codice maligno con gli stessi privilegi dell’utente locale. “Usando Internet Explorer l’esecuzione del codice avviene a distanza e potrebbe non richiedere alcun tipo di intervento da parte dell’utente”, si legge nell’advisory ufficiale.
Come spesso accade, i sistemi maggiormente vulnerabili sono quelli che fanno girare le versioni client di Windows: sulle piattaforme server di Microsoft, infatti, IE gira con privilegi limitati, e riduce dunque notevolmente l’impatto di eventuali attacchi. Attacchi peraltro già verificatisi , seppure Microsoft affermi di aver finora ricevuto un limitato numero di segnalazioni. Ma la situazione potrebbe cambiare presto: Sophos avvisa che diversi siti, in buona parte cinesi, stanno diffondendo un exploit capace di sfruttare la nuova vulnerabilità.
In attesa che venga rilasciata una patch, Microsoft suggerisce ai propri utenti di applicare il workaround descritto nel proprio advisory o linkato in questo articolo della KB sotto forma di soluzione Fix it , applicabile con un semplice clic del mouse.
Tutti i link per approfondire la conoscenza della falla sono riportati in questo post del Security e Virtualization Blog di Feliciano Intini, chief security advisor di Microsoft Italia.
Ieri Microsoft ha anche pubblicato i bollettini di sicurezza di luglio , tra i quali – come si è anticipato – ve n’è anche uno dedicato a risolvere la precedente falla ActiveX in un componente della tecnologia DirectShow.
I bollettini sono in tutto sei, tra i quali tre “critici” e tre “importanti”. Tra quelli più urgenti, oltre al suddetto bollettino relativo al bug ActiveX/DirectShow, ve n’è uno che risolve un buffer overflow sfruttabile a distanza nel componente Embedded OpenType (EOT) Font Engine di Windows. Le tre vulnerabilità classificate di rischio medio-alto riguardano invece le applicazioni Virtual PC/Virtual Server, ISA Server 2006 e Microsoft Publisher, e potrebbero essere sfruttate da un aggressore per elevare i propri privilegi.
Il sommario dei bollettini di luglio è accessibile qui .