Falla Office 2007


Rispondi
    Rispondi citando

Falla Office 2007

Wolf Otakar » Mar Feb 27, 2007 2:21 am

Dopo essere riuscito dribblare le vulnerabilità recentemente scoperte nei suoi predecessori, Office 2007 si trova ora a fronteggiare quello che eEye Digital Security considera il primo grave problema di sicurezza della nuova suite. Si tratta di una falla legata al modo in cui Publisher 2007 gestisce il proprio formato dei documenti (.pub).

Come spesso accade quando il problema interessa il parsing dei documenti, un aggressore potrebbe creare un file ad hoc che, una volta aperto dall'utente, sfrutta il bug per eseguire del codice dannoso. Tale file potrebbe essere inglobato in una pagina web oppure allegato ad una email.

"Siamo rimasti sorpresi dall'aver scoperto una falla così in fretta (a circa quattro settimane dal debutto consumer di Office 2007, NdR) e in uno dei prodotti chiave della suite", ha affermato Ross Brown, CEO di eEye. Il ricercatore ha anche aggiunto di aver utilizzato un processo di code auditing standard per trovare il bug, segno che "Microsoft non sembra aver fatto un buon lavoro nella verifica del proprio codice, oppure era a corto di personale da dedicare a questa operazione".

Microsoft ha fatto sapere di aver ricevuto la segnalazione di eEye e di stare investigando sulla natura e la portata del problema.

Negli scorsi giorni un ricercatore di sicurezza italiano noto come "shinnai" ha pubblicato un advisory in cui porta alla luce una vulnerabilità nel controllo ActiveX Microsoft Windows Shell User Logon di Windows XP SP2.

L'advisory spiega che un malintenzionato potrebbe confezionare un file HTML contenente un richiamo a shgina.dll che, quando aperto dall'utente, aggiunge automaticamente al sistema un account con privilegi limitati. Va sottolineato che, in Internet Explorer 6 e 7, l'utente deve espressamente autorizzare l'esecuzione del controllo ActiveX. Sebbene il bug possa essere sfruttato solo in locale, shina ha invitato la comunità degli esperti di sicurezza a "non sottovalutare il problema".

Fonte: http://punto-informatico.it/p.aspx?id=1907251&r=PI

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  


Rispondi

Sicurezza Informatica

Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi