Sicurezza IT proattiva
 

Due vulnerabilità zero-day in Microsoft Word

[Avvisi sul software]

11 dicembre 2006

Update 14 February 2007

Microsoft's set of monthly patches 13 February addresses several vulnerabilities in Word. More information in MS07-014

Update 10 January 2007

Microsoft's set of monthly patches 10 January does not include fixes for any of the published vulnerabilities in Word.

Update 12 December 2006

Microsoft's set of monthly patches 12 December does not include fixes for any of these two vulnerabilities.

La scorsa settimana due vulnerabilità zero-day sono state rilevate in Microsoft Word (e Word Viewer).

Both of these are critical and may cause malicious code execution when a Word document is opened.

In entrambi i casi si tratta di vulnerabilità critiche che potrebbero causare l’esecuzione di codici maligni all’apertura di un documento Word.

Al momento della stesura del presente documento Microsoft non ha resto disponibile alcuna patch di sicurezza in grado di risolvere queste vulnerabilità. Non è stata ancora confermata l’eventuale disponibilità di patch nell’ambito dell’abituale pubblicazione mensile Microsoft alla fine di questa settimana. In particolare, è improbabile che la seconda vulnerabilità indicata sopra venga inclusa, poiché è talmente recente da non trovare corrispondenza in nessuna patch del sistema di test di Microsoft.

I codici dell’exploit che utilizzano queste vulnerabilità sono pubblicati.

Raccomandazioni

Norman consiglia di utilizzare la massima prudenza sia quando si aprono allegati e-mail in formato Word provenienti da fonti inaffidabili, sia in caso di allegati e-mail imprevisti provenienti da fonti affidabili. Allo stesso modo, l’apertura di documenti Word disponibili su siti Web deve essere eseguita con molta attenzione.

Aggiornamenti

Ulteriori informazioni saranno pubblicate su questa pagina Web non appena disponibili.