[NEWS] Office protagonista del patch day di marzo

[c.m.g]

12 Marzo 2008 ore 08:00

Spoiler:

Quote: Il secondo martedì del mese di marzo porta agli utenti Microsoft quattro aggiornamenti destinati esclusivamente a Office. Varie le vulnerabilità riscontrate: a causa della presenza online di alcuni codici di exploit si consiglia immediato update

Il patch day di marzo porta in casa Microsoft 4 nuovi aggiornamenti che totalizzano un totale di 17 patch nel giro dei primi 3 mesi dell'anno. Come sempre l'aggiornamento automatico è possibile tramite la funzione Windows Update, ma in questo caso occorre una precauzione aggiuntiva per gli utenti utilizzanti Internet Explorer 8 Beta 1: il browser va fatto girare con l'emulazione di IE7 onde evitare un messaggio di errore che impedisce l'accesso agli update.


La prima patch è la numero 14 ed è giudicata a rischio critico per Office 2000 e "importante" per le altre versioni. La patch è già in versione 1.1 e va a correggere ben 7 vulnerabilità (alcune peraltro già coinvolte in precedenti aggiornamenti) riscontrate nell'applicativo Excel. Microsoft annovera tra i ringraziamenti per le segnalazioni occorse nomi quali VeriSign, iDefense, Fortinet e Websense.

La patch distribuita con bollettino MS08-015 interviene su Microsoft Office Outlook andando a risolvere un problema con gli URI che determina un problema critico già affrontato ad inizio 2007 con una prima release dell'intervento odierno.

Il bollettino MS08-016 contempla due vulnerabilità in Microsoft Office con pericolosità dichiarata a livello «critical». Un file appositamente formato potrebbe permettere l'esecuzione di codice da remoto. Coinvolto nell'aggiornamento anche Office 2004 per piattaforma Mac.

Risulta essere di pericolosità «critica» anche la vulnerabilità affrontata con il bollettino MS08-017. La componente fallata risulta essere Microsoft Office Web Components 2000 e le vulnerabilità riscontrate sono di duplice tipologia. Anche in questo caso la patch è stata rilasciata già in versione 1.1.

Office, come preannunciato, è al centro dell'attenzione per il mese in corso e l'aggiornamento dei vari applicativi della suite si fa tanto urgente quanto impellente è il pericolo derivante da un trojan già in circolazione ed in grado di colpire una delle falle risolte dai quattro bollettini testé rilasciati. Sottolinea, in particolare, Feliciano Intini: «Solo una vulnerabilità delle 12 (l'ultima del primo bollettino) risulta essere già nota e purtroppo già utilizzata per attacchi, e quindi tale da far diventare prioritario e urgente il relativo bollettino MS08-014 che la risolve. D'altra parte è assolutamente confortante notare che nessuna vulnerabilità di questo mese interessi i sistemi dotati di Office 2007 Service Pack 1, la versione più aggiornata possibile di Office».

Giacomo Dotta


Fonte: WebNews.it

[c.m.g]

bug riportati da secunia e incrociati con l'articolo di cui sopra:

http://secunia.com/advisories/29321/

http://secunia.com/advisories/29328/

http://secunia.com/advisories/29320/

[c.m.g]

ripreso anche da Tweakness:

http://www.tweakness.net/topic.php?id=4407

[c.m.g]

ripreso anche da punto informatico:

http://punto-informatico.it/2220412/...-Office/p.aspx