Il mese di maggio è stato caratterizzato dalla correzzione di alcune vulnerabilità relative al prodotto Office Microsoft PowerPoint.

In complessivo sono 14 le vulnerabilità riscontrate in PowerPoin e risolte con questo pacchetto cumulativo di patch.

Le vulnerabilità sono state classificate critiche da Microsoft in quanto è possibile eseguire codice da remoto semplicemente creando pacchetti di file ad-hoc.

Il bollettino Microsoft MS09-17 raccoglie tutte le specifiche tecniche relative a tali aggiornamenti. Le versioni afflitte da tali vulnerabilità sono:

• Microsoft Office 2000 Service Pack 3,
• Microsoft Office XP Service Pack 3,
• Microsoft Office 2003 Service Pack 3,
• Microsoft Office 2007,
• PowerPoint Viewer,
• Microsoft Office Compatibility Pack per Word, Excel, e PowerPoint 2007.

Gli aggiornamenti, come sempre, verrano rilasciati tramite update automatico; il sistema operativo scaricherà in modo automatico il pacchetto e provvederà ad installarlo al prossimo riavvio.

Related posts:

1. Microsoft: aggiornamenti di Agosto
2. Microsoft Security Bulletin Febbraio 08
3. Microsoft: bug in Snapshot Viewer per Microsoft Access

A quanto pare i tecnici Microsoft hanno scovato la possibilità di eseguire codice da remoto sfruttando tale vulnerabilità. Inoltre la possibilità di essere attaccati sembra essere molto probabile, dato che alcuni ricercatori hanno localizzato diverse pagine web che utilizzano tale tecnica per ottenere il controllo del PC della vittima.

Secondo l’advisory di Microsoft i pirati informatici creerebberò alcune pagine web appositamente codificate per sfruttare il bug eseguendo così codice sul PC della vittima. Una volta che l’utente naviga sulla pagina il codice esegue il suo dovere e può prendere il possesso del computer remoto.

Ma cos’è lo SnapShot Viewer per Microsoft Access?? In parole povere è un semplice programma che permette di visualizzare i report dei file Access quando non si ha installato Microsoft Access di Office.

Le versioni afflitte sono quelle relative al pacchetto Microsoft Office 2000, 2002, 2003.

Al momento non sono state rilasciate patch per sistemare la vulnerabilità anche se Microsoft nel bollettino ha inserito un workaround per disattivare momentaneamente lo snapshot ed evitare che il bug possa essere sfruttato.

Si trova nella sezione “Suggested Actions” del bollettino, l’operazione descritta non è semplice da eseguire, in quanto si opera nel registro di sistema; ma è un ottimo rimedio per evitare di essere passibili di attacchi da remoto.

Related posts:

1. Microsoft Security: Patch Agosto 2008
2. Microsoft: aggiornamenti Maggio 2009
3. Microsoft, anteprima Security Bulletin Marzo 2008

Il comunicato stampa è stato rilasciato da Microsoft nella giornata di ieri, quando in Italia era oramai sera.

Il Service Pack 2 verrà rilasciato a metà 2009 e saranno introdotti nuovi formati supportati dalla nota suite di Microsoft. I formati in questione sono: XML Paper Specification (XPS), Open Document Format 1.1 (ODF), Portable Document Format 1.5 (PDF) e PDF/A.

Questi formati saranno ampiamente supportati da tutti i programmi inclusi nel pacchetto Microsoft Office, ecco le specifiche:

Sarà possibile in modo nativo e senza installare plugin aggiuntivi:

• aprire, modificare e salvare documenti nel formato Open Document Format 1.1;
• salvare documenti nel formato XPS, PDF e PDF/A;
• impostare il formato ODF come formato di default per il salvataggio nelle applicazioni Office

Purtroppo Microsoft non ha inserito nessun pacchetto che possa aggiungere tali aggiornamenti dei formati anche nella versione precedente di Office, la 2003. Anche se i tecnici di Big M sono sempre al lavoro ed in collaborazione con i team open source che sviluppano plug-in di compatibilità con i vari formati (esempio:convertitore Open XML – ODF).

si è parlato, nel comunicato, anche della versione successiva di Office, nome in codice: “Office 14″, nel quale saranno inserite le modifiche apportate allo standard Open XML dopo la sua approvazione da parte dell’ISO nell’aprile scorso.

Questo è un grosso passo avanti per la suite Microsoft di software da ufficio, dato che sembra aver finalmente chiuso il capitolo che vedeva i suoi prodotti poco compatibili con il mondo esterno.

“Siamo impegnati nel fornire agli utenti Office maggiore scelta tra formati documentali oltre ad un’incrementata interoperabilità tra quei formati e le applicazioni che li implementano,” ha detto Chris Capossela, senior vice president della Microsoft Business Division. “Aumentando l’apertura dei nostri prodotti e partecipando attivamente nello sviluppo e nella manutenzione degli standard di formato documentale, siamo convinti di poter aiutare a creare opportunità per sviluppatori e concorrenti, inclusi i membri delle comunità open source, di innovare e fornire nuovo valore per i clienti”.

Altra citazione dal comunicato stampa: “Questa attività sui formati documentali è solo un aspetto dell’impegno di Microsoft sta aumentando la scelta, l’interoperabilità e la varietà di soluzioni innovative nel mercato. Microsoft continuerà a lavorare con i suoi clienti e partner e il resto del settore per continuare a fare passi in avanti in quest’area. Maggiori informazioni sono disponibili al sito http://www.microsoft.com/interop.”

Related posts:

1. OOXML, quasi standard
2. Microsoft: aggiornamenti Maggio 2009
3. UE: multa di 899 milioni € a Microsoft

Il prossimo martedì (12 Febbraio, ndr) Microsoft “inonderà”  i propri utenti con ben 12 correzioni (o patch) per i propri prodotti. Il mese precedente (Gennaio) erano stati rilasciati solamente 2 aggiornamenti, il che faceva preannunciare un altro mese tranquillo, invece tutto il contrario.

Sette delle dodici patch aggiustano problemi classificati come “critical” cioè di pericolosità critica, le quali porterebbero un utente malintenzionato ad eseguire codice arbitrario da remoto.

I softwar afflitti da queste vulnerabilità critiche sono: Microsoft Office, Works, Internet Explorer, VBScript, JScript, ADAM e Active Directory.

Come potete vedere dall’avviso ufficiale, a questa pagina,  i prodotti Microsoft più utilizzati (come Office, IE e Works) sono afflitti dai problemi più gravi.

Le rimanenti 5 patch servono per aggiornare problemi molto più lievi. Che nel caso di Microsoft IIS permettevano una scalata di privilegi e possibili Denial of Service.

I sistemi operativi Microsoft afflitti da questi bug sono: Windows 2000, Windows Server 2003, Windows XP e Windows Vista (per i primi tre con tutti i Service Pack installati).

Attendiamo allora il prossimo martedì per mettere in sicurezza il nostro sistema.

Related posts:

1. Microsoft, anteprima Security Bulletin Marzo 2008
2. Microsoft Security Bulletin Gennaio 2008
3. Microsoft: aggiornamenti Maggio 2009