16/01/2008

La società di sicurezza Secunia (http://secunia.com) ha riportato un advisory (SA28506 (http://secunia.com/advisories/28506/)) che segnala una vulnerabilità in Microsoft Excel, giudicata come Extremely critical, non ancora patchata che potrebbe essere sfruttata da un malintenzionato per compromettere il sistema di un utente ignaro.
La vulnerabilità può essere sfruttata per far eseguire da remoto codice arbitrario (malevolo) che può compromettere il sistema operativo e il corretto funzionamento della macchina ma per essere attivo, si necessita che l'utente debba aprire un file excel malevolo. Nelle istruzioni tecniche della vulnerabilità si spiega che l'exploit restituisce un errore non meglio specificato nella manipolazione di un file di Excel che potrebbe essere usato per creare un file con informazioni di header non a norma.
Questo bug viene considerato uno 0day.

Suite vulnerabili:
Microsoft Excel 2000
Microsoft Excel 2002
Microsoft Excel 2003
Microsoft Excel Viewer 2003
Microsoft Office 2000
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2004 for Mac

Le versioni di Excel bacate sono:
* Microsoft Office Excel 2003 Service Pack 2
* Microsoft Office Excel Viewer 2003
* Microsoft Office Excel 2002
* Microsoft Office Excel 2000
* Microsoft Excel 2004 for Mac.

Soluzione:
Non aprire file di Excel di dubbia provenienza.

Per gli utente di Microsoft Excel 2003, Microsoft raccomanda di usare il Microsoft Office Isolated Conversion Environment (MOICE) o il Microsoft Office File Block policy. Fare riferimento al bollettino Microsoft di riferimento per maggiori info.

Bollettino Microsoft:
Microsoft (KB947563):
http://www.microsoft.com/technet/security/advisory/947563.mspx


Fonte: Secunia (http://secunia.com/advisories/28506/)

Se ne parla anche su Tweakness:

http://www.tweakness.net/topic.php?id=4303

e WebNews:

http://www.webnews.it/news/leggi/7528/microsoft-conferma-excel-a-rischio-exploit/

Un ulteriore approfondimento:
28/01/2008

Microsoft ha rilasciato nei giorni scorsi un bollettino di sicurezza (link (http://www.microsoft.com/technet/security/advisory/947563.mspx)) per allertare gli utenti di Microsoft Excel circa una nuova debolezza nel foglio di calcolo, che potrebbe consentire a un cracker di prendere pieno controllo del sistema inducendo la propria vittima ad aprire un documento malformato.

Le versioni a rischio sono Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002 (incluso in Office XP), Microsoft Office Excel 2000 e Microsoft Excel 2004 for Mac.

Sono al sicuro invece Excel 2007, Excel 2008 for Mac e anche Excel 2003 a patto che sia stato installato il service pack 3 rilasciato qualche mese addietro. Sono altresì al sicuro tutte le postazioni su cui fosse installato il tool Microsoft Office Isolated Conversion Environment (MOICE).

Non bastasse questo, la situazione è ulteriormente aggravata dalla circolazione pubblica di un exploit, confermato come "funzionante" da diverse fonti accreditate.

In attesa di una patch (che verrà rilasciata preumibilmente durante il ciclo di aggiornamenti del mese prossimo), è dunque importante mantenere altissimo il livello di diffidenza verso qualsiasi file in arrivo dalla Rete, e aggiornare l'antivirus con le ultime definizioni disponibili.

Allo stesso tempo raccomando a tutti gli utenti di Microsoft Office 2003 di procedere con l'aggiornamento al terzo service pack, che risolve questo e molti altri problemi oltre ad apportare significativi miglioramenti in termini di stabilità e prestazioni.

Fonte:MegaLab (http://www.megalab.it/news.php?id=1975)