Connessioni / Next / Search / Sicurezza / Social
Excel sotto tiro. Sì, ma quanto?
Questi i fatti: a pochi giorni dal consueto giro di patch di gennaio, in sé molto tranquillo con una sola patch critica e una sola definita importante, è emersa una vulnerabilità che riguarda tutte le versioni di Excel tranne le più recenti (Excel 2003 Service Pack 3 ed Excel 2007). Secondo varie aziende che si occupano di sicurezza informatica, tra cui la danese Secunia (che vanta uno dei database più completi in tema di vulnerabilità che si possano rintracciare su Internet) si tratta di un problema “estremamente critico”, anche a causa di un exploit in libera uscita sul Web.
Di qui i vari consigli in materia da parte degli esperti; tra i tanti, va menzionato quello del CERT, ovvero l’organismo federale statunitense per la protezione dell’infrastruttura Internet nazionale nato dalla collaborazione tra settore pubblico ed enti privati. “Non aprire allegati sospetti e seguire i consigli di Microsoft riportati nel bollettino dedicato alla vulnerabilità“.
Detto e fatto: il bollettino 947563 chiamato in causa descrive il problema e invoca una serie di fattori mitiganti per il rischio. Ci sono, tuttavia, alcuni passaggi dubbi: tra tutti, quello che sostiene che “Al momento attuale, siamo a conoscenza solo di attacchi mirati che tentano di sfruttare la vulnerabilità. Inoltre, visto che il problema non è stato diffuso in maniera ampia, pensiamo che il rischio sia attualmente limitato”. Tutto può essere, ma sottovalutare la pervasività di Internet appare un peccato mortale, a maggior ragione se ci si chiama Microsoft e si rappresenta una delle più grandi realtà informatiche al mondo.
Tutto finito in attesa di una patch, magari per il prossimo giro di febbraio? Non proprio. In una nota ufficiale, Microsoft ha comunicato che “il suggerimento di non utilizzare o aprire assolutamente i documenti in formato Excel, riportato da alcune testate online, non corrisponde alla raccomandazione contenuta nel suddetto Advisory ed è priva di ogni fondamento”. Oltre a questo, “in questo caso specifico le caratteristiche della vulnerabilità sono normali e un’eccessiva preoccupazione è ingiustificata alla luce dell’attuale fase di investigazione. L’Advisory indica altresì dei workaround molto efficaci per gestire in modo sicuro l’apertura di particolari tipologie di file Office (Excel in questo caso)”. Anche qui, c’è da prendere atto della posizione del vendor, ma va sottolineato come poche volte in passato Microsoft abbia così apertamente contraddetto le posizioni di molti esperti di sicurezza, con cui per contro è solita collaborare in maniera fattiva.
Se si aggiunge che i workaround proposti sono sì efficienti, ma non certo alla portata dell’utente medio (quello che in azienda è aiutato dall’amministratore di sistema, ma che in ambito privato non ha molti appigli), non resta che aspettare il giro di patch di febbraio e, rispettate le regole che richiamano a una basilare prudenza, incrociare nel frattempo le dita. In alternativa, scegliere tra mettere mano al portafogli e passare a Office 2007 o affidarsi all’alternativa gratuita OpenOffice.
Ancora nessun commento.