www.MegaLab.it

È un bollettino strettamente Office-centrico quello distribuito da Microsoft per il mese di marzo.

L'azienda ha rilasciato infatti quattro aggiornamenti di sicurezza a pericolosità critica per la sola suite da ufficio: Windows, Internet Explorer e tutti gli altri prodotti non richieno invece update.

Vulnerabilities in Microsoft Excel... (MS08-014)

Il primo aggiornamento del mese risolve sette diversi problemi legati alla gestione dei file da parte di Microsoft Excel, sebbene il livello di pericolosità sia massimo solamente per la versione presente in Office 2000.

Facendo leva su uno dei problemi corretti da questa patch, un cracker potrebbe realizzare un file malformato in grado di lanciare programmi sul computer della vittima una volta che il documento fosse aperto con una versione non debitamente protetta del foglio di calcolo Microsoft.

Non sono interessati da questo problema coloro i quali avessero installato il terzo Service Pack per Office 2003 oppure Office 2007 aggiornato al Service Pack 1, o ancora la suite Microsoft Works in versione 8.0/8.5/9.0/2005/2006.

>> Bollettino Microsoft e download

Vulnerability in Microsoft Outlook... (MS08-015)

Tutte le versioni di Outlook, a meno di Outlook 2007 Service Pack 1, sono afflitte da un problema nella gestione di taluni URI, che potrebbero consentire ad un cracker di compromettere un sistema confezionando un indirizzo malformato, e persuadendo quindi l'utente a cliccare su di esso.

Due, stando agli scarsi dettagli disponibili, potrebbero essere le metodologie di attacco. La prima, vedrebbe il cracker impegnato nell'incorporare un collegamento mailto: malformato all'interno di una pagina web che, qualora cliccato, verrebbe aperto con Outlook e scatenerebbe l'esecuzione di codice.

La seconda possibilità sarebbe quella di trasmettere alla vittima un e-mail con un collegamento mailto: creato ad hoc per sfruttare il problema.

Ad ogni modo, non è possibile sfruttare il problema automaticamente, semplicemente visualizzando l'e-mail nel riquadro di anteprima.

Il baco sembra comunque piuttosto grave: raccomando di installare questo aggiornamento alla primissima occasione utile.

A chi utilizzasse invece Office 2007 sprovvisto di Service Pack, raccomando di installare invece l'intero pacco invece di questa singola patch.

>> Bollettino Microsoft e download

Vulnerabilities in Microsoft Office... (MS08-016)

La terza patch del mese risolve due problemi che affliggono diversi componenti della suite da ufficio Microsoft nelle versioni 2000, XP, 2003 senza Service Pack 3 e 2004 perMac.

Si tratta di due problemi legati ancora una volta al modo con cui le applicazioni gestiscono file malformati: anche in questo caso, un cracker potrebbe far leva su alcuni bachi per prendere pieno controllo del sistema una volta che un file malformato, confezionato appositamente, venisse aperto su di un sistema non debitamente aggiornato.

>> Bollettino Microsoft e download

Vulnerabilities in Microsoft Office Web Components... (MS08-017)

L'ultimo aggiornamento interessa invece tutte le workstation su cui fosse installato Microsoft Office Web Components ed le controparti server dotate di una delle piattaforme con cui OWC si interfaccia, come BizTalk o ISA Server.

Anche in questo caso sono due i problemi risolti da questo update, classificato a pericolosità "Critical": il primo, localizzato nella gestione della memoria, potrebbe consentire ad un cracker di prendere pieno controllo del sistema aggredito confezionando un URL malformato, mentre per sfruttare il secondo, l'aggressore dovrebbe realizzare una pagina web appositamente progettata.

>> Bollettino Microsoft e download