Sono quattro le nuove patch di sicurezza che Microsoft ha appena reso disponibili nel corso del primo “patch day” del 2007. Tre sono state classificate dal colosso di Redmond come di livello critico, una quarta come “importante”:
– MS07-002; Risoluzione di vulnerabilità in Excel. La patch mette una pezza a cinque problemi di sicurezza individuati in Microsoft Excel. Le varie vulnerabilità potrebbero essere sfruttate da un aggressore per eseguire codice da remoto nel momento in cui l’utente sia loggato al sistema con i diritti amministrativi. Un’altra situazione, questa, che evidenzia come l’utilizzo di un account “amministratore” per il lavoro quotidiano dinanzi al personal computer sia preferibilmente da evitare: sarebbe preferibile impiegare account con permessi ridotti.
Le vulnerabilità, risolte dalla patch MS07-002, si riferiscono a Office 2000 SP3, Office XP SP3, Office 2003 SP2, Works Suite 2004, Works Suite 2005, Office 2004 per Mac, Office v.X per Mac. Patch indicata come di livello critico.
– MS07-003; Risoluzione di vulnerabilità presenti in Outlook. Sono tre le falle di sicurezza risolvibili mediante l’applicazione di questa patch. Due problemi possono portare all’esecuzione di codice nocivo da remoto nel momento in cui Outlook si trovi a gestire informazioni “malformate”. La terza falla invece, se sfruttata, può impedire l’uso del client di posta. L’attacco, definito come DoS (Denial of Service) prevede la preparazione di un’e-mail “maligna” contenente un’intestazione (“header”) opportuamente modificata per far leva sulla vulnerabilità. Affette dal problema sono le versioni 2000 SP3, XP SP3 e 2003 SP2 di Office. Patch critica.
– MS07-004; Vulnerabilità nel “Vector Markup Language”. Anche in questo caso la mancata applicazione della patch espone l’utente al rischio di vedere eseguito, sulla propria macchina, codice potenzialmente dannoso da remoto. Il problema risiede in questo caso nell’implementazione Windows del linguaggio VML (“Vector Markup Language”). Un aggressore può essere in grado di sfruttare la vulnerabilità di sicurezza approntando una pagina web oppure un’e-mail in formato HTML sviluppate ad arte per far leva sulla falla. Ad essere interessate dal problema sono tutte le versioni di Internet Explorer (7.0 compresa) su Windows 2000, Windows XP e Windows Server 2003 (nessun problema, invece, in Windows Vista). Patch critica.
– MS07-001; Vulnerabilità nel correttore ortografico brasiliano-portoghese di Office 2003. C’è una vulnerabilità di sicurezza nel correttore ortografico brasiliano-portoghese inserito in Office 2003 che potrebbe favorire l’esecuzione di codice da remoto da parte di un aggressore che abbia messo a punto un documento in grado di sfruttare la lacuna. La patch è indicata come “importante”.
All’ultimo momento Microsoft ha evitato di rilasciare ulteriori quattro aggiornamenti di sicurezza la cui distribuzione era stata ufficialmente comunicata per questo mese. Non è dato sapere le motivazioni di questa scelta, confermata sino a qualche giorno fa nel “Security Bulletin Advance Notification”, bollettino che precede la pubblicazione delle patch e che ne anticipa alcune peculiarità.
Oltre alle prime quattro patch di sicurezza dell’anno, Microsoft ha aggiornato anche il suo “Strumento di rimozione malware”. Giunto alla versione 1.24, è scaricabile, in italiano, da questa pagina.