Microsoft: nuova grave falla colpisce Office e IE

Sembra non esserci pace per il software di Microsoft. A pochi giorni dalla segnalazione di una falla critica che interessa Windows XP, il colosso dell’informatica ha confermato la presenza di un’altra vulnerabilità riscontrata in alcuni componenti distribuiti attraverso i suoi applicativi. Il grave bug interessa gli Office Web Components, soluzione utilizzata per salvare i propri fogli di calcolo, elenchi e database direttamente sul Web.

La conferma giunge direttamente dal Microsoft Security Response Center, che ha da poco rilasciato un post sul proprio blog per allertare gli utenti potenzialmente interessati dal malfunzionamento. «La vulnerabilità si trova in Spreadsheet ActiveX control e benché siano stati identificati pochi attacchi, se sfruttata opportunamente, la falla potrebbe consentire a un utente malintenzionato di ottenere privilegi simili a quelli dell’utente locale» scrive Dave Forstrom, group manager dell’area sicurezza del software di Microsoft.

La vulnerabilità riscontrata interessa un numero particolarmente ampio di prodotti realizzati da Redmond nel corso degli ultimi anni. Il componente incriminato è infatti presente in una considerevole varietà di edizioni di Microsoft Office e di Microsoft Internet Security and Acceleration Server. La diffusione del bug potrebbe dunque portare alla violazione di un alto numero di sistemi. Sfruttando la falla, un utente malintenzionato potrebbe eseguire in remoto del codice non autorizzato tramite un sito web appositamente modificato per sortire tale scopo. Un risultato ottenibile con l’invio di una semplice email contenente l’invito per l’ignaro utente ad aprire il link segnalato nel messaggio.

Gli esperti di sicurezza di Microsoft sono al lavoro per la creazione di una patch in grado di risolvere il bug, ma potrebbero essere necessari ancora diversi giorni. Nel frattempo, gli sviluppatori di Redmond suggeriscono di disattivare Office Web Components dagli add-on eseguiti da Internet Explorer. L’operazione può essere eseguita automaticamente attraverso la funzione Fix It fornita da Microsoft o manualmente seguendo le istruzioni da poco pubblicate sul sito di supporto del colosso dell’informatica.

La notizia della nuova grave vulnerabilità giunge a una settimana dall’annuncio di un exploit zero-day legato ai sistemi equipaggiati con Windows XP e con le versioni 6 e 7 del browser Internet Explorer. Una minaccia consistente risolta in tempo per il Patch Day di luglio ed etichettata dagli esperti di Secunia come "Estremamente critica", la medesima dicitura adottata ora per la falla di Microsoft Office Web Components.