Tre sono classificati come critici e riguardano sia Office che Windows.
Sono quattro le nuove patch di sicurezza che Microsoft ha appena reso disponibili
nel corso del primo “patch day” del 2007. Tre sono state classificate
dal colosso di Redmond come di livello critico, una quarta come “importante”:
MS07-002;
Risoluzione di vulnerabilità in Excel. La patch mette
una pezza a cinque problemi di sicurezza individuati in Microsoft Excel. Le
varie vulnerabilità potrebbero essere sfruttate da un aggressore per
eseguire codice da remoto nel momento in cui l’utente sia loggato al sistema
con i diritti amministrativi. Un’altra situazione, questa, che evidenzia come
l’utilizzo di un account “amministratore” per il lavoro quotidiano
dinanzi al personal computer sia preferibilmente da evitare: sarebbe preferibile
impiegare account con permessi ridotti. Le vulnerabilità, risolte dalla
patch MS07-002, si riferiscono a Office 2000 SP3, Office XP SP3, Office 2003
SP2, Works Suite 2004, Works Suite 2005, Office 2004 per Mac, Office v.X per
Mac. Patch indicata come di livello critico.
MS07-003;
Risoluzione di vulnerabilità presenti in Outlook. Sono
tre le falle di sicurezza risolvibili mediante l’applicazione di questa patch.
Due problemi possono portare all’esecuzione di codice nocivo da remoto nel momento
in cui Outlook si trovi a gestire informazioni “malformate”. La terza
falla invece, se sfruttata, può impedire l’uso del client di posta. L’attacco,
definito come DoS (Denial of Service) prevede la preparazione di un’e-mail “maligna”
contenente un’intestazione (“header”) opportuamente modificata per
far leva sulla vulnerabilità. Affette dal problema sono le versioni 2000
SP3, XP SP3 e 2003 SP2 di Office. Patch critica.
MS07-004;
Vulnerabilità nel “Vector Markup Language”.
Anche in questo caso la mancata applicazione della patch espone l’utente al
rischio di vedere eseguito, sulla propria macchina, codice potenzialmente dannoso
da remoto. Il problema risiede in questo caso nell’implementazione Windows del
linguaggio VML (“Vector Markup Language”). Un aggressore può
essere in grado di sfruttare la vulnerabilità di sicurezza approntando
una pagina web oppure un’e-mail in formato HTML sviluppate ad arte per far leva
sulla falla. Ad essere interessate dal problema sono tutte le versioni di Internet
Explorer (7.0 compresa) su Windows 2000, Windows XP e Windows Server 2003 (nessun
problema, invece, in Windows Vista). Patch critica.
MS07-001;
Vulnerabilità nel correttore ortografico brasiliano-portoghese
di Office 2003. C’è una vulnerabilità di sicurezza nel
correttore ortografico brasiliano-portoghese inserito in Office 2003 che potrebbe
favorire l’esecuzione di codice da remoto da parte di un aggressore che abbia
messo a punto un documento in grado di sfruttare la lacuna. La patch è
indicata come “importante”.
All’ultimo momento Microsoft ha evitato di rilasciare ulteriori quattro aggiornamenti
di sicurezza la cui distribuzione era stata ufficialmente comunicata per questo
mese. Non è dato sapere le motivazioni di questa scelta, confermata sino
a qualche giorno fa nel “Security Bulletin Advance Notification”,
bollettino che precede la pubblicazione delle patch e che ne anticipa alcune
peculiarità.
Oltre alle prime quattro patch di sicurezza dell’anno, Microsoft ha aggiornato
anche il suo Strumento
di rimozione malware, giunto alla versione 1.24.
