A pochi giorni dai primi due bollettini del 2008 (MS08-001 e MS08-002), nuovi exploit (ma non solo… come vedremo) preoccupano Microsoft.
In primo luogo, la casa di Redmond conferma una nuova grave vulnerabilità per Excel, di cui al momento è noto il tipo di attacco, ma difficilmente verrà rilasciata una patch prima del 12 febbraio, secondo martedì del mese, ossia il “patching day” per Microsoft.
Le versioni vulnerabili sono Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000, Microsoft Excel 2004 per Mac. Le versioni più recenti, Microsoft Office Excel 2003 Service Pack 3, Microsoft Office Excel 2007 e Microsoft Excel 2008 per Mac, non dovrebbero essere colpite dall’exploit.
Per questo motivo, Microsoft consiglia il seguente workaround: utilizzare il suo tool Office Isolated Conversion Environment(MOICE) per convertire i vecchi file nel nuovo formato.
Si invita comunque a prestare sempre particolare attenzione ai file Excel che arrivano via posta elettronica (soprattutto se da mittenti sconosciuti) o scaricati da qualche sito.
L’altra preoccupazione che investe Redmond in questi giorni è la prossima (febbraio?) diffusione di Internet Explorer 7 tramite il canale del Windows Server Update Services (WSUS), il servizio utilizzato soprattutto dalle aziende per scaricare le patch e distribuirle ai server della propria rete aziendale.
Si teme infatti che molte aziende potrebbero avere disguidi nel passaggio da IE6 a IE7. Siccome questo aggiornamento verrà inviato in maniera automatica tramite WSUS, si consiglia, per le aziende che preferiscono ancora utilizzare IE6, di disabilitare l’approvazione automatica degli aggiornamenti.