Excel, un'altra falla e nessuna patch

Mese nero per Microsoft Excel: una seconda grave vulnerabilità è stata scoperta nell’applicazione della suite Office ed ancora una volta il tutto avviene in completa assenza di patch o interventi risolutivi provvisori messi a punto da Redmond. La falla è stata scoperta da “kcope” ed è illustrata nel bollettino SA20748 di Secunia.

La nuova vulnerabilità emerge poche ore dopo la pubblicazione del workaround offerto da Microsoft per risolvere la prima falla di Excel venuta a galla nei giorni scorsi. In entrambi i casi il problema è di estrema gravità, ma mentre nel primo caso un exploit è stato identificato come minaccia immediata per l’utenza, nel secondo caso nessun exploit pubblico risulta essere notificato ed il rischio è dunque al momento relegato ad una dimensione potenziale.

Microsoft ha da breve rilasciato 12 patch in occasione del bollettino di sicurezza di Giugno, mentre diversi giorni mancano ancora al prossimo bollettino dell’11 Luglio. Fino ad allora (raramente il gruppo ha rilasciato patch al di fuori del ciclo mensile programmato) Microsoft lavorerà per mettere a punto patch performanti ed eventuali workaround per limitare il rischio per l’utenza. Il primo consiglio è sempre lo stesso: evitare l’apertura di allegati di cui non si è certi della provenienza e della non-pericolosità.

Nell’occhio del ciclone nel caso della patch scoperta nelle ultime ore è il file hlink.dll. Tramite il proprio Microsoft Security Response Center Blog, Christopher Buddfa sapere come un proof-of-concept sia stato pubblicato e conferma il fatto che nessun exploit abbia trovato aperta pubblicazione. Il team che lavora alla sicurezza Microsoft sta ora operando le proprie indagini sul caso e si promette un sollecito intervento anche per questa nuova vulnerabilità.