Microsoft, nuova falla zero-day colpisce Office

Microsoft, nuova falla zero-day colpisce Office

Microsoft ha segnalato la scoperta di una vulnerabilità zero-day sotto attacco tramite documenti Office appositamente confezionati: patch in arrivo.
Microsoft ha segnalato la scoperta di una vulnerabilità zero-day sotto attacco tramite documenti Office appositamente confezionati: patch in arrivo.

Microsoft ha rilasciato un nuovo bollettino di sicurezza nel quale annuncia la scoperta di una nuova grave vulnerabilità che, pur se apparentemente ininfluente, si rivela in realtà estremamente pericolosa per l'utenza Office.

Office a rischio

Il problema è insito in Microsoft MSHTML (“Trident”), il motore alla base del browser Internet Explorer. Come noto, IE è stato ormai abbandonato dal gruppo in favore di Edge e questo rende il problema teoricamente di bassa caratura. In realtà lo stesso motore è utilizzato alla base di Microsoft Office per l'elaborazione di dati provenienti dal Web e ciò rende la suite di produttività un canale di attacco particolarmente esposto.

Microsoft avrebbe rilevato attacchi in corso tramite documenti Office appositamente sviluppati e messi in circolazione con controlli ActiveX maligni. Qualora l'utente apra il documento, può trovarsi a cedere i propri privilegi a malintenzionati remoti, creando in certi casi problemi estremamente gravi sulla macchina colpita.

Microsoft consiglia di porre particolare attenzione ai documenti Office da fonte non verificata e non affidabile; consiglia inoltre di aprire qualsivoglia file dal Web in “Protected View”, senza possibilità di editing diretto. Nel frattempo il gruppo si appresta al prossimo rilascio di una patch correttiva che possa porre fine immediata al problema.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

08 09 2021
Link copiato negli appunti