QR code per la pagina originale

Falla grave in Microsoft Word, non c’è la patch

Falla grave all'interno di Microsoft Word 2000, falla confermata anche all'interno di Word 2002 (versione Office XP). Si consiglia di disabilitare il download automatico dei file e di evitare l'apertura di file Word non sicuri. Patch al momento assente.

,

Con bollettino SA12758 Secunia segnala una falla ad alto rischio per i software Microsoft Word 2000 e Word 2002. La scoperta, attribuita a tale HexView, ha immediatamente assunto i toni dell’emergenza a causa dell’alta distribuzione del software e della facilità con cui può essere proposto un eventuale exploit.

L’unico attuale rimedio al problema consiste nell’evitare metodicamente l’apertura di qualunque file di Word non sicuro. Per ovviare al download automatico e ad un’apertura involontaria di eventuali file corrotti si consiglia agli utenti dotati di browser Internet Explorer di controllare il grado di sicurezza impostato per l’area “Internet” (impostare il livello “alto”) o comunque di impostare su “Disattiva” l’opzione “File download” (Strumenti –> Opzioni Internet –> Protezione –> Livello personalizzato).

Inizialmente segnalata solo in Word 2000, attualmente risulta confermato come la falla sia presente anche in Word 2002, cioè la versione contenuta in Office XP. Secondo quanto segnalato da Microsoft non si registra al momento alcun exploit in circolazione, ma nessuna patch risulta rilasciata e dunque il grado di allerta deve forzatamente rimanere molto alto.

La risoluzione del problema potrebbe arrivare in coincidenza con il prossimo aggiornamento previsto nell’ambito delle patch mensili di Microsoft oppure, vista la gravità del momento, la situazione potrebbe imporre un’anticipo sui tempi programmati. Quest’ultima ipotesi sembra allontanata dalle stesse valutazioni Microsoft la quale, sconcertata per non aver ricevuto in anticipo la segnalazione e vedendo così improvvisamente a serio rischio i propri utenti, ha annunciato che non rilascerà una patch apposita fin quando non sarà a disposizione un fix sufficientemente qualitativo.

Il pericolo in cui incorrono i sistemi vulnerabili consiste in un attacco in grado di causare DoS e di portare al crash del sistema. Un eventuale exploit può manifestarsi tramite una forzata apertura di apposite pagine web o mediante l’invio di un allegato maligno via mail.