Vulnerabilità in Word 2002 SP3

Subito dopo il Patch Day di luglio e a ridosso della vulnerabilità riscontrata in Access, Microsoft rende nota attraverso il Security Advisory 953635 una vulnerabilità insita in Office Word 2002 Service Pack 3, attraverso la quale un utente malintenzionato potrebbe prendere possesso del computer di una vittima ed eseguire codice malevolo da remoto. In attesa che da Redmond arrivino ulteriori comunicazioni in merito, è consigliabile aprire i file Word ricevuti da terzi attraverso Microsoft Office Word 2003 Viewer.

La vulnerabilità non può essere sfruttata automaticamente tramite ad esempio l’invio di una email; l’utente deve sempre e comunque aprire una un file Word opportunamente strutturato, magari allegato al messaggio di posta ricevuto. In uno scenario Web, un utente malintenzionato deve convincere la propria vittima a visitare un sito compromesso e al cui interno è presente un file Word creato per sfruttare tale vulnerabilità. Al momento Microsoft si dichiara a conoscenza di un numero limitato di attacchi mirati a sfruttare la falla evidenziata in Word.

La vulnerabilità sopra esposta non riguarda invece Microsoft Office Word 2000 (SP3), Microsoft Office Word 2003 (SP2 e SP3), Microsoft Office Word 2007 (SP1), Microsoft Office Word Viewer 2003 (SP1), Microsoft Office for Mac 2004/2008. Seppure Word 2000 risulti agli effetti immune da tale tipologia di attacco, l’apertura di file .DOC opportunamente creati per condurre la versione 2002 all’exploit, potrebbero causarne una improvvisa chiusura.

A meno dell’evolversi di una casistica indicante una vera e propria urgenza, è presumibile un intervento risolutivo in data 12 agosto, quando Microsoft rilascerà le patch previste per il prossimo mese.