Risolta un vulnerabilità critica per chi utilizza la suite. Sul versante sistema operativo nessun problema per chi ha installato i Service Pack
Il secondo martedì del mese è il giorno che Microsoft ha destinato
al rilascio delle patch di sicurezza per sistemi operativi e applicazioni. Questa
volta gli aggiornamenti sono due e correggono alcune vulnerabilità
in Office ed in Windows.
La patch MS06-012
è stata definita "critica" e riguarda
tutti gli utenti che facciano uso dei pacchetti Office 2000 SP3, Office XP SP3,
Office 2003 SP1/SP2, Works Suite (versioni 2000,…,2006). Non sono esclusi
neppure gli utenti Macintosh che utilizzino Office X oppure Office 2004.
Sebbene le applicazioni interessate dalle vulnerabilità scoperte siano
differenti a seconda della versione di Office in uso (ad esempio, per quanto
riguarda il più recente Office 2003 vulnerabile risulta solo Microsoft
Excel mentre non sono affetti dal problema Word, PowerPoint ed Outlook), c’è
comunque un denominatore comune: i rischi per l’utente derivano in ogni caso
dall’apertura, tramite i vari software della suite Office, di file "maligni"
espressamente creati da parte di malintenzionati per sfruttare le lacune di
sicurezza scoperte e causare danni. Un aggressore può quindi eseguire
codice da remoto persuadendo l’utente-vittima ad aprire un file di Excel contenente
oggetti grafici, intervalli, formule, descrizione di colonna e record non validi.
La patch MS06-012 risolve anche un problema legato alle "liste di distribuzione"
di un documento Office: sfruttando questa vulnerabilità, un utente malintenzionato
potrebbe assumere pieno controllo del sistema non opportunamente "patchato".
La seconda patch (MS06-011)
rilasciata quest’oggi, invece, riguarda solo gli utenti di Windows XP
e di Windows 2003 che non abbiano applicato l’ultimo Service Pack.
Su questi sistemi, la vulnerabilità consente l’acquisizione di privilegi
elevati da parte di un aggressore remoto facilitando l’avvio di numerose tipologie
d’attacco. Il codice "proof-of-concept" era stato reso pubblico dagli
scopritori circa un mese fa evitanziando come le "Access Control List"
(ACL) di Windows possano subire attacchi.
La vulnerabilità risolvibile mediante l’applicazione della patch MS06-011
è stata classificata come "importante": teniamo comunque a
sottolineare come gli utenti di Windows XP SP2 e Windows 2003 SP1 non debbano
applicarla avendo correttamente installato l’ultimo Service Pack.
