Nuove falle in Office, WinXP e SQL Server

Microsoft ha corretto tre nuove vulnerabilità di sicurezza riguardanti Word, Excel, Windows XP e SQL Server. Quest'ultima è considerata la più grave
Microsoft ha corretto tre nuove vulnerabilità di sicurezza riguardanti Word, Excel, Windows XP e SQL Server. Quest'ultima è considerata la più grave


Redmond (USA) – Con questi tre fanno 61: tanti sono i bollettini di sicurezza rilasciati da Microsoft a partire dall’inizio dell’anno. Le nuove falle descritte negli ultimi advisory riguardano due fra le più note applicazioni di MS Office – Word ed Excel -. Windows XP e SQL Server.

La falla di Office, classificata come di gravità moderata, riguarda le versioni Windows di Word 97/2000/2002 e Excel 2002 e le versioni Macintosh di Word 98/2001/X ed è descritta nel bollettino MS02-059 . La vulnerabilità può essere sfruttata da un malintenzionato per confezionare un documento che, una volta aperto, è in grado di includere all’insaputa dell’utente il contenuto di un file che risiede sul computer locale.

Un’altra falla, anch’essa considerata da Microsoft di moderato rischio, affligge il sistema di Help e il Support Center di Windows XP ed è descritta nel bollettino MS02-060 . Un aggressore potrebbe farne uso per costruire una pagina Web o una e-mail HTML malevola che, una volta aperta, cancelli un file presente nel sistema. Microsoft sostiene che le probabilità che un attacco del genere riesca sono però alquanto remote, e questo per una lunga lista di motivi, fra cui il fatto che è necessaria l’interazione dell’utente.

L’ultimo buco di sicurezza, classificato di massima gravità, interessa SQL Server 7.0 e 2000 e viene descritto nell’avviso di sicurezza MS02-061 . In questo caso un utente con bassi privilegi potrebbe sfruttare la falla per elevare i suoi diritti e apportare modifiche o cancellazioni ai task creati da altri utenti: normalmente solo gli amministratori del server potrebbero compiere queste azioni.

Le patch che correggono queste vulnerabilità possono essere scaricate dai rispettivi bollettini. Nel caso di SQL Server la patch è cumulativa e contiene tutti i precedenti fix di sicurezza di SQL Server 7.0, SQL Server 2000, Microsoft Data Engine (MSDE) 1.0 e Microsoft Desktop Engine (MSDE) 2000.

Link copiato negli appunti

Ti potrebbe interessare

17 10 2002
Link copiato negli appunti