Access, scoperta vulnerabilità critica

Secondo quanto riportato dal Microsoft Security Advisory numero 955179, Snapshot Viewer, utility che consente di visualizzare uno snapshot dei report di Access senza disporre delle versioni standard o runtime del programma, sarebbe afflitto da una grave vulnerabilità in grado di rendere le macchine che ospitano il programma potenziali vittime di attacchi in grado di compromettere l’intero sistema. Al momento non è disponibile nessuna patch correttiva ma solamente alcuni workaround in grado di proteggere i computer da vettori di attacco conosciuti.

La falla, classificata da Secunia come ‘altamente critica’, risiederebbe nel controllo ActiveX snapview.ocx, il quale permetterebbe il download automatico di file all’interno del computer nel caso l’utente visiti alcuni siti Web malevoli e il pieno controllo del sistema posto sotto attacco. Il componente ActiveX incriminato si trova all’interno di tutte le versioni di Microsoft Office Access, eccetto Microsoft Office Access 2007.

Utilizzare un browser alternativo ad Internet Explorer permetterebbe di aggirare tale vulnerabilità, ma chi volesse (o dovesse) utilizzare il programma di casa Microsoft, vengono proposti alcuni workaround in grado, dal momento in cui sia impossibile risolvere la falla, quantomeno di bloccare i vettori di attacco. Tre le soluzioni proposte, la modifica del livello di protezione per l’area Internet e Internet Locale su “alto” e la disabilitazione dell’opzione “Esecuzione script attivo”.