A pochi giorni dalla pericolosa debolezza non ancora corretta in Microsoft Excel, ecco spuntare due nuovi bachi che affliggono tutte le versioni di Excel: sono a rischio quindi Excel 2000, 2002, 2003, anche in caso fossero installati gli ultimi Service Pack. 
Hyperlink pericolosi
La prima delle due nuove falle è localizzata in un buffer non correttamente validato prima dell'uso nella libreria hlink.dll e consente ad un cracker di inserire un collegamento ipertestuale in un documento Excel che, se cliccato, può consentire di crashare il programma ma anche, secondo il parere di Secunia, prendere pieno controllo del sistema da remoto.
Va comunque precisato che questa falla è più difficile da sfruttare della precedente: se nell'altra debolezza infatti era sufficiente aprire un documento malformato per rimanere compromessi, per poter sfruttare questa nuova vulnerabilità è necessario che la vittima clicchi manualmente su di un URL presente nel documento.
Da notare che la libreria difettosa è inclusa in Windows, e non solo in Excel: anche se per il momento è stata verificata solo in Excel, qualsiasi altra applicazione che sfruttasse l'API del file difettoso potrebbe essere a rischio.
Excel fa a pugni con Flash
Il secondo nuovo problema invece è localizzato nella gestione delle animazioni Flash incorporabili nei documenti Excel, e che il programma manda in esecuzione automaticamente all'apertura di un documento.
Un esperto di nome Debasis Mohanty ha scoperto che è possibile sfruttare questa debolezza anche per incorporare script Flash malevoli, che potrebbero consentire di compromettere un sistema vulnerabile: una dimostrazione (innocua, ma funzionante!) è disponibile qui.
Come proteggersi
Con tutta probabilità Microsoft rilascerà un hotfix per questi nuovi problemi solo contestualmente al ciclo di aggiornamenti mensili, pianificato per l'11 luglio prossimo.
Alcuni esperti stanno ipotizzando che, constatata la gravità dei problemi, Microsoft possa rilasciare una patch "extra" prima dell'aggiornamento mensile. Personalmente però reputo questa mossa alquanto improbabile e raccomando piuttosto di applicare quanto prima le contromisure che ho suggerito la settimana scorsa.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati