Microsoft conferma: Excel a rischio exploit

Microsoft conferma quanto circolante sul web: una falla "zero day" di Excel è stata scoperta e gli utenti aventi il software installato sui propri sistemi non dormiranno dunque notti tranquille. Non vulnerabili, comunque, le ultime versioni del software
Microsoft conferma: Excel a rischio exploit
Microsoft conferma quanto circolante sul web: una falla "zero day" di Excel è stata scoperta e gli utenti aventi il software installato sui propri sistemi non dormiranno dunque notti tranquille. Non vulnerabili, comunque, le ultime versioni del software
Giacomo Dotta
Pubblicato il 17 gen 2008

La conferma giunge dalla stessa Microsoft: Excel, il noto software proprio della suite Office, soffre di una grave vulnerabilità il cui attacco è già stato registrato online mentre nulla è dato invece a sapersi relativamente alla disponibilità di una patch correttiva.

Secondo quanto annunciato in un apposito Microsoft Security Advisory (947563), le versioni vulnerabili sarebbero le seguenti: Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000, Microsoft Excel 2004 per piattaforma Mac. Il gruppo avrebbe già attivato in emergenza il Software Security Incident Response Process (SSIRP) per investigare sull’accaduto.

L’attacco potrebbe provenire da file excel corrotti inviati via mail o depositati su internet: incoraggiandone il download e l’apertura si da il via alle infezioni a catena che rischiano di sollevare una nuova epidemia. Il bollettino Microsoft comunica comunque una serie di fattori mitiganti che dovrebbero soffocare i rischi della prima ora. Microsoft Office Excel 2003 Service Pack 3, Microsoft Office Excel 2007 e Microsoft Excel 2008 per Mac, infatti, non sarebbero vulnerabili al problema. Inoltre senza la necessaria interazione della vittima l’exploit non ha possibilità di andare a segno.

Tra i consigli riportati da Microsoft si segnala quello che suggerisce l’uso del MOICE (Microsoft Office Isolated Conversion Environment) per tradurre in nuovo formato i vecchi file ricreando così un ambiente salubre nel quale l’attacco non può prender vita. Per il resto, a meno di una improvvisa accelerazione delle infezioni, il bug non sarà affrontato con una patch dedicata almeno fino al 12 febbraio, secondo martedì del mese e giorno di patch in casa Microsoft.

Nel frattempo c’è chi le falle ha deciso, sulla scia di precedenti esperimenti mai andati troppo a buon fine, di venderle. Una falla in Windows, ad esempio, sarebbe sul mercato per 20 mila dollari. Ad avviare la cessione è la Digital Armaments.

Ti consigliamo anche

Web e Social

Test Rendering Content
TEST Inserimento
Software e App

TEST Inserimento
Test Impact NEW LP
Software e App

Test Impact NEW LP
Trust Gaming GXT 1160 Vero Webcam il prezzo precipita MENO 69 PER CENTO
Gadget e Device

Trust Gaming GXT 1160 Vero Webcam il prezzo precipita MENO 69 PER CENTO
Link copiato negli appunti