Nuovo 0day in Microsoft Word [updated]

Sono state pubblicate le advisory (da Secunia e da Microsoft) relative ad un bug 0day in Word che permette l’esecuzione di codice arbitrario. Non sono noti i particolari, si conoscono solamente le versioni di Microsoft Office Word affette dal problema:

  • Word 2000
  • Word 2002
  • Word 2003
  • Word Viewer 2003
  • Word 2004 for Mac
  • Word 2004 v. X for Mac
  • Works 2004, 2005, and 2006

L’apertura di un documento Word potrebbe quindi compromettere l’intera macchina, Microsoft come workarround del problema consiglia:

Do not open or save Word files that you receive from un-trusted sources or that you receive unexpectedly from trusted sources. This vulnerability could be exploited when a user opens a specially crafted Word file.

Questo vuol dire creare ed usare documenti personali o al massimo documenti interni alla propria LAN.
E’ previsto il rilascio della path a questo problema il 12 Dicembre, anche se il “CVE Candidate” è stato assegnato il 21 Novembre scorso.

Aggiornamento: Microsoft ha pubblicato la lista delle patch che verranno rilasciate il 12 Dicembre. In questa lista però non compapre quella relativa al bug di sicurezza scoperto su Word il 21 Novembre:

On 12 December 2006 Microsoft is planning to release:Security Updates

  • Five Microsoft Security Bulletins affecting Microsoft Windows. The highest Maximum Severity rating for these is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer and the Enterprise Scan Tool. Some of these updates will require a restart.
  • One Microsoft Security Bulletins affecting Microsoft Visual Studio. The highest Maximum Severity rating for these is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer and the Enterprise Scan Tool. These updates may require a restart.

E’ comunque possibile, ma non certo, che Microsoft ci ripensi.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento