Connessioni / Next / Search / Sicurezza / Social
Word a rischio, ma senza patch d’emergenza
“Non aprite o salvate file Word ricevuti da fonti non sicure o ricevute inaspettatamente da fonti sicure”: il consiglio, peraltro ovvio, proviene da Microsoft, che ha appena rilasciato un dettagliato bollettino su una vulnerabilità dell’elaboratore di testo della suite Office, non ancora corretta, che permette l’installazione di software arbitrario su un sistema remoto.
La stessa Microsoft sottolinea come “l’attacco passa per un documento Word creato appositamente, ma ci sono altri modi per trarre vantaggio dalla vulnerabilità”. Insomma, il problema c’è e non va sottovalutato. Ed è dovuto a un componente, il motore Jet Database, che è utilizzato da molti altri prodotti Microsoft, a partire da Access: è vulnerabile la libreria msjet40.dll di versione inferiore alla 4.0.9505.0. Per ora, sono a rischio tutti gli utenti Word (2000, Xp, 2003 e 2007) a meno che l’applicazione non giri su Windows Server 2003 SP2 o Vista: in questo caso il problema non sussiste.
Ma l’azienda tende a ridimensionare la portata effettiva del rischio: “Attualmente siamo a conoscenza di soli attacchi mirati: attacchi che richiedono una forte interazione con l’utente per andare a buon fine; per questo riteniamo che il rischio sia limitato”. Non ci si discosta granché dallo standard inaugurato un paio d’anni addietro per il primo bug di Word sfruttato da uno zero day exploit per sottrarre dati sensibili a realtà aziendali specifiche: gli attacchi non riguardano tutti, quindi non interveniamo fuori dal tempo prestabilito.
Come al solito, Microsoft non si sbilancia sull’eventuale rilascio di una patch d’emergenza: a giudicare dalle esperienze passate, la cosa è comunque improbabile, a meno che l’attacco non si diffonda su larga scala. Dal momento che il patch day di aprile cade presto, l‘8 del mese, tutto fa pensare che la patch fuori programma non ci sarà.
Ancora nessun commento.