Punto informatico Network

Contenuto Default

Seconda e terza falla per Excel

24/06/2006
- A cura di
Zane.
Archivio - Emergono due ulteriori bug nel foglio di calcolo Microsoft. I sistemi da ufficio sono di nuovo a serio rischio sicurezza.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

falla (1) , excel (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 187 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

A pochi giorni dalla pericolosa debolezza non ancora corretta in Microsoft Excel, ecco spuntare due nuovi bachi che affliggono tutte le versioni di Excel: sono a rischio quindi Excel 2000, 2002, 2003, anche in caso fossero installati gli ultimi Service Pack. EXCELFILE.png

Hyperlink pericolosi

La prima delle due nuove falle è localizzata in un buffer non correttamente validato prima dell'uso nella libreria hlink.dll e consente ad un cracker di inserire un collegamento ipertestuale in un documento Excel che, se cliccato, può consentire di crashare il programma ma anche, secondo il parere di Secunia, prendere pieno controllo del sistema da remoto.

Va comunque precisato che questa falla è più difficile da sfruttare della precedente: se nell'altra debolezza infatti era sufficiente aprire un documento malformato per rimanere compromessi, per poter sfruttare questa nuova vulnerabilità è necessario che la vittima clicchi manualmente su di un URL presente nel documento.

Da notare che la libreria difettosa è inclusa in Windows, e non solo in Excel: anche se per il momento è stata verificata solo in Excel, qualsiasi altra applicazione che sfruttasse l'API del file difettoso potrebbe essere a rischio.

Excel fa a pugni con Flash

Il secondo nuovo problema invece è localizzato nella gestione delle animazioni Flash incorporabili nei documenti Excel, e che il programma manda in esecuzione automaticamente all'apertura di un documento.

Un esperto di nome Debasis Mohanty ha scoperto che è possibile sfruttare questa debolezza anche per incorporare script Flash malevoli, che potrebbero consentire di compromettere un sistema vulnerabile: una dimostrazione (innocua, ma funzionante!) è disponibile qui.

Come proteggersi

Con tutta probabilità Microsoft rilascerà un hotfix per questi nuovi problemi solo contestualmente al ciclo di aggiornamenti mensili, pianificato per l'11 luglio prossimo.

Alcuni esperti stanno ipotizzando che, constatata la gravità dei problemi, Microsoft possa rilasciare una patch "extra" prima dell'aggiornamento mensile. Personalmente però reputo questa mossa alquanto improbabile e raccomando piuttosto di applicare quanto prima le contromisure che ho suggerito la settimana scorsa.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.14 sec.
    •  | Utenti conn.: 80
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0