Redmond (USA) – Microsoft ha rilasciato cinque nuovi bollettini di sicurezza relativi ad alcune falle presenti nei propri software, fra cui una vulnerabilità classificata come “critical” che interessa alcune versioni della diffusissima suite per l’ufficio Office.
La falla, descritta nell’avviso di sicurezza MS03-037 , riguarda il modo in cui Visual Basic for Applications (VBA) controlla le proprietà dei documenti quando questi gli vengono passati da un’applicazione (ad esempio Word). Il bug, di tipo buffer overrun , può essere sfruttato da un malintenzionato per eseguire codice a propria scelta con gli stessi privilegi dell’utente.
“Perché l’attacco vada a buon fine – si legge sul bollettino di Microsoft – un utente deve aprire un documento creato in un certo modo e inviatogli dall’aggressore. Questo documento può essere qualsiasi tipo di documento supportato da VBA, come ad esempio un file Word, Excel o PowerPoint. Nel caso in cui Word venga utilizzato come editor di Outlook per le e-mail HTML, questo documento potrebbe essere una e-mail: in questo caso, tuttavia, l’utente dovrebbe rispondere al messaggio, o inoltrarlo a terzi, per consentire all’aggressore di sfruttare la vulnerabilità”.
Fra i software vulnerabili a questa falla vi sono le versioni dalla 5.0 alla 6.3 di Visual Basic for Applications SDK, le versioni 97, 2000 e 2002 di Office, le versioni 2000 e 2002 di Project e Visio, le versioni 2002, 2002 e 2003 di Works Suite e alcuni altri applicativi appartenenti alla famiglia Business Solutions.
Dal bollettino Microsoft è possibile scaricare manualmente le relative patch, tuttavia il big di Redmond suggerisce di visitare il sito Office Update capace di verificare e installare automaticamente gli aggiornamenti necessari (il servizio non supporta Office 97 e Visio 2000).
Microsoft ha rilasciato anche un fix che corregge una falla in Word 98, 2000 e 2002 e nella Works Suite 2001, 2002 e 2003, sfruttabile da un aggressore per scavalcare le funzionalità di sicurezza integrate nel programma ed eseguire delle macro senza il permesso dell’utente. La vulnerabilità, trattata nel bollettino MS03-035 e classificata come “important”, può essere sfruttata da un aggressore per confezionare un documento che, una volta aperto, esegua in automatico una macro senza che l’utente ne abbia avviso.
Il pericolo di bug come questi, secondo gli esperti di sicurezza, è che aprano la strada ad una nuova ondata di macro-virus , una tipologia di codici virali molto diffusa fino a pochi anni fa.
Un’altra vulnerabilità classificata da Microsoft come “important” consiste in un buffer overrun nel componente che si occupa di convertire i formati di WordPerfect in quelli di Office. La falla, segnalata da Microsoft con l’avviso di sicurezza MS03-036 consiste in un buffer non verificato e può essere sfruttata da un aggressore per creare un documento WordPerfect creato in modo tale che quando viene aperto dal convertitore esegua del codice. Il problema interessa tutte le versioni attualmente supportate di Office, WorkSuite e alcune versioni di FrontPage e Publisher.
Il bollettino MS03-038 riguarda una falla considerata da Microsoft di rischio moderato che interessa l’Access Snapshot Viewer, un controllo ActiveX opzionale che permette di visualizzare file di database creati con Access 97, 2000 e 2002. Un buffer ovverrun contenuto nel codice del viewer potrebbe essere sfruttato da un aggressore per eseguire del codice a sua scelta attraverso una pagina Web malevola.
L’ultimo avviso, l’ MS03-034 , descrive una vulnerabilità a basso rischio che interessa la versione di NetBIOS integrata nelle versioni di Windows con kernel NT e che potrebbe essere sfruttata da un cracker per ottenere dati casuali della memoria del computer vulnerabile.