Zero-Day contro PowerPoint

Ieri Microsoft ha rilasciato un bollettino di sicurezza su una vulnerabilità della tecnologia OLE.

Il bollettino parla di limitati exploit in circolazione che sfruttano PowerPoint, altri non sono così ottimisti. Sono interessate tutte le versioni a 32 bit di Microsoft Office. Attenzione che il 32 bit si riferisce alla versione di Office, non del sistema operativo, quindi un Office a 32 bit che gira su un Windows a 64 bit è vulnerabile.

Chi ha potuto esaminare l’exploit riporta che, se è attivo UAC, viene richiesto il permesso per eseguire un programma con privilegi elevati, la qual cosa dovrebbe insospettire l’utente (ma ci sono poche speranze).

Microsoft ha rilasciato anche un QuickFix in attesa della patch definitiva via Windows Update, a testimonianza del fatto che la diffusione dell’exploit potrebbe non essere così limitata.

Il consiglio è di installare quanto prima il QuickFix e di non aprire allegati di documenti Office (PowerPoint, Word, Excel) che provengono da fonti sconosciute, specialmente se contenuti in file compressi (ZIP).

Prodotti Microsoft vulnerabili ai file TIFF

TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

I programmi interessati sono:

  • Office 2003
  • Office 2007
  • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
  • Lync

Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

StarOpenLibreOffice

Dieci anni fa nasceva OpenOffice dalle ceneri di StarOffice. L’hanno ricordato la Document Foundation il 13 ottobre e, il giorno dopo, l’organizzazione di OpenOffice con un messaggio che sa tanto di “ci siamo anche noi”.

Pare che si potrebbe essere sul punto di un fork, visto che Oracle vuol proseguire sulla propria strada con OpenOffice, mentre altri sviluppatori, che non vedono l’azienda di Ellison con simpatia, hanno dato vita a LibreOffice.

La speranza, un poco vana, è di non trovarsi davanti a due standard open, sebbene il bello degli standard sia il fatto che ce ne siano tanti tra cui scegliere…

La Document Foundation si sta dando molto da fare per rifare tutte le traduzioni e accettare i contributi degli sviluppatori insoddisfatti dalla sorte di OpenOffice. Dopo aver creato una mailing list di annunci, è stato creato un gruppo di Xing e un wiki.

In questo momento è disponibile la Beta 2 del software e la traduzione nelle varie lingue è in corso.

The Document Foundation

Dopo una decina d’anni di vita, la comunità di OpenOffice.org diventa The Document Foundation.

La nuova fondazione si prefigge lo scopo di migliorare ed ampliare la vecchia struttura di OpenOffice.org, per promuovere la nascita di nuovi software e definire uno standard veramente open per lo scambio di dati office.

Oracle, l’attuale proprietario di OpenOffice.org è stata invitata a donare i marchi correlati ad OOo che ha ricevuto con l’acquisizione di Sun e a partecipare alla fondazione; in attesa di una decisione, la suite gratuita viene rinominata LibreOffice.

Tra i supporter dell’iniziativa ci sono la Free Software Foundation, Google, OASIS, Novell, RedHat, Canonical (Ubuntu), la GNOME Foundation, Neo-Office e altri.