Redmond (USA) – Questo mese gli amministratori di server Windows possono tirare un sospiro di sollievo. Dopo la grandinata di patch piovuta loro addosso lo scorso febbraio, i quattro bollettini Microsoft di marzo correggono esclusivamente vulnerabilità in Office, e interessano principalmente i sistemi client.
Sebbene tutti i bollettini siano stati classificati come “critical” , Microsoft sottolinea il fatto che la versione più aggiornata della propria suite per l’ufficio, Office 2007 Service Pack 1, non risulta vulnerabile ad alcuna delle dodici falle corrette questo mese.
La patch probabilmente più urgente è quella relativa alla vulnerabilità CVE-2008-0081 di Excel, trattata nel bollettino MS08-014 : come riportato da US-CERT , questa debolezza è già presa di mira da un trojan che si diffonde via email sotto forma di due allegati: olympic.xls e schedule.xls . Gli utenti a rischio sono quelli che utilizzano Excel 2000, 2002 e 2003 (esclusa la versione SP3), Excel Viewer 2003, e Excel 2004 per Mac. Excel 2007 ed Excel 2008 sono immuni al problema.
Le altre sei falle di Excel descritte nel bollettino MS08-014 riguardano, a seconda del caso, Office 2000, XP, 2003, 2007 e 2008 per Mac, e potenzialmente sono tutte sfruttabili per l’esecuzione di codice maligno contenuto all’interno di un file Excel (.xls) malformato.
Gli esperti considerano della massima gravità anche la falla di Outlook corretta dal bollettino MS08-015 . Questa vulnerabilità può essere innescata attraverso un URI di tipo “mailto://”, lo stesso utilizzato nelle pagine Web per far aprire automaticamente il client di posta elettronica: tale link può essere manipolato in modo tale che, se lo si apre con Outlook, il client va in crash ed esegue del codice maligno. L’unica versione non vulnerabile di Outlook è la 2008.
Altre due vulnerabilità sfruttabili tramite file di Office malformati sono descritte nel bollettino MS08-016 : una riguarda Office 2003 SP2 e precedenti versioni, l’altra soltanto Excel Viewer 2003.
Infine, il bollettino MS08-017 corregge due falle in Office Web Components 2000 , un insieme di classi OLE implementate come controlli ActiveX che possono essere inglobate all’interno delle pagine web. Un aggressore potrebbe trarre vantaggio da queste debolezze creando una pagina web ad hoc che, quando visitata, causa l’esecuzione di codice maligno. Tra le applicazioni interessate dal problema vi sono Office 2000, Office XP, Visual Studio.NET 2002/2003, BizTalk Server 2000/2002, Commerce Server 2000 e ISA Server 2000 SP2.
Il riepilogo in lingua italiana dei bollettini di sicurezza di marzo è disponibile qui , mentre qui è possibile trovare la matrice sinottica delle vulnerabilità e qui una tabella riassuntiva stilata da SANS Institute .
Martedì BigM ha rilasciato anche il primo aggiornamento per Office 2008 per Mac , il 12.0.1 , che dovrebbe migliorare le performance e la stabilità. Aggiornato anche Office 2004 per Mac , che raggiunge la versione 11.4.1 .
Proprio mentre Microsoft pubblicava i suoi nuovi bollettini, su alcune mailing list di sicurezza sono state divulgate due altre vulnerabilità che interessano le versioni 5 e 6 di Internet Explorer : secondo quanto riporta SANS, i due bug potrebbero consentire ad un sito web maligno di eseguire certi comandi (come la cancellazione di file) o di autenticarsi su di un altro sito utilizzando le credenziali archiviate nella cache del browser. Apparentemente, gli utenti di IE7 non sono a rischio: motivo in più, dice SANS, per aggiornare IE .
In questi giorni gli utenti di Windows devono prestare particolare attenzione anche ad un’ altra falla di sicurezza, questa volta legata ad un software non Microsoft: RealPlayer di RealNetworks . Il bug è contenuto nel controllo ActiveX rmoc3260.dll di RealPlayer 11 e versioni precedenti, e potrebbe essere sfruttato da un malintenzionato per eseguire del codice a distanza contenuto in una pagina web maligna. A rendere particolarmente pericolosa la debolezza interviene il fatto che, sebbene al momento non esista ancora una patch, sulla mailing-list Full Disclosure è già apparso un exploit proof-of-concept .
In questo advisory SANS suggerisce di disattivare il controllo ActiveX incriminato (attraverso il metodo del killbit ) oppure utilizzare un browser che non supporti la tecnologia ActiveX.