Office2007: sicurezza preventiva

Un trucco intelligente rilasciato da Microsoft permette di avere benefici sul fronte sicurezza sfruttando il formato XML di Office2007.

Office è lo standard de facto sia in ambito domestico che professionale, grazie anche alla flessibilità di programmazione offerta con l’introduzione dello scripting (Visual Basic for Applications, o VBA).

Con la versione 2007 della suite si ha un notevolissimo passo in avanti: il formato XML diventa non più un optional, ma parte integrante del modo di salvare i documenti. Sfruttarlo appieno vuol dire (anche) avere documenti più intrinsecamente sicuri, perché completamente testuali.

Lo chiamano “security mitigation” a Microsoft e dicono che possa aiutarci quando dobbiamo aprire documenti Office 2003 o precedenti da persone di cui non possiamo fidarci al 100% (non perché hacker, ma perché magari potrebbero essere poco esperti ed avere il PC infetto).

La soluzione è il Microsoft Office Isolated Conversion Environment (MOICE), che converte i file di binari Office in file nel formato open XML di Office 2007.

Così facendo tutte le informazioni diventano testuali e vengono quindi rimossi eventuali frammenti di codice maligno.

Una nota buffa, è nel security bullettin di Microsoft:

During the conversion of an unsafe file, MOICE will fail to convert the file, create a safe version of the file, or the converter itself will crash; the mere process of conversion and achieving one of three possible outcomes is what protects customers.

Ora, documenti in formato testuale (XML) sono comodi per molte ragioni, e soprattutto per XML-fanatic come me apprezzeranno questo tool, tuttavia questo sistema non è a prova di bomba: abbiamo visto che anche le immagini (WMF) se ben (mal) congegnato possono sfruttare falle del sistema…