"Patch day" di Marzo: una patch critica per Office, una per Windows

Il secondo Martedì del mese è il giorno che Microsoft ha destinato al rilascio delle patch di sicurezza per Windows e le altre applicazioni del colosso di Redmond. Questa volta gli aggiornamenti sono due e correggono alcune vulnerabilità in Office ed in Windows.
La patch MS06-012 (ved. bollettino ufficiale) è stata definita “critica” e riguarda tutti gli utenti che facciano uso dei pacchetti Office 2000 SP3, Office XP SP3, Office 2003 SP1/SP2, Works Suite (versioni 2000,…,2006). Non sono esclusi neppure gli utenti Macintosh che utilizzino Office X oppure Office 2004. Sebbene le applicazioni interessate dalle vulnerabilità scoperte siano differenti a seconda della versione di Office in uso (ad esempio, per quanto riguarda il più recente Office 2003 vulnerabile risulta solo Microsoft Excel mentre non sono affetti dal problema Word, PowerPoint ed Outlook), c’è comunque un denominatore comune: i rischi per l’utente derivano in ogni caso dall’apertura, tramite i vari software della suite Office, di file “maligni” espressamente creati da parte di malintenzionati per sfruttare le lacune di sicurezza scoperte e causare danni.
Un aggressore può quindi eseguire codice da remoto persuadendo l’utente-vittima ad aprire un file di Excel contenente oggetti grafici, intervalli, formule, descrizione di colonna e record non validi. La patch MS06-012 risolve anche un problema legato alle “liste di distribuzione” di un documento Office: sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere pieno controllo del sistema non opportunamente “patchato”.
La seconda patch (MS06-011; ved. bollettino ufficiale) rilasciata quest’oggi, invece, riguarda solo gli utenti di Windows XP e di Windows 2003 che non abbiano applicato l’ultimo Service Pack. Su questi sistemi, la vulnerabilità consente l’acquisizione di privilegi elevati da parte di un aggressore remoto facilitando l’avvio di numerose tipologie d’attacco. Il codice “proof-of-concept” era stato reso pubblico dagli scopritori circa un mese fa evitanziando come le “Access Control List” (ACL) di Windows possano subire attacchi. La vulnerabilità risolvibile mediante l’applicazione della patch MS06-011 è stata classificata come “importante”: teniamo comunque a sottolineare come gli utenti di Windows XP SP2 e Windows 2003 SP1 non debbano applicarla avendo correttamente installato l’ultimo Service Pack.