Microsoft Office è la suite di applicazioni più comunemente utilizzata che contiene insieme un elaboratore di testi, un foglio di calcolo e un software di presentazione. Questa è stata una delle prime applicazioni che ha guadagnato popolarità e ha aiutato gli utenti a passare dai documenti manuali alla digitalizzazione. Tuttavia, Check Point Research (CPR), una società di sicurezza informatica, ha recentemente scoperto un bug che si sospetta fosse in agguato da anni.
Immagine: MicrosoftQuesto difetto è stato immediatamente informato a Microsoft ed è stato rilasciato un aggiornamento rilasciato subito dopo per correggere questa vulnerabilità. Questo aggiornamento è stato distribuito a tutti gli utenti Microsoft con effetto immediato rendendo MS Word, MS Excel, MS Powerpoint e MS Outlook sicuri da usare. Questo difetto o errore, come lo definisce il rapporto CPR, era un rischio riscontrato nel codice legacy dei formati di file Excel95. Questo formato è vecchio, il che significa che la falla di sicurezza è presente da molto tempo. La colpa è degli errori di analisi in quanto avrebbero potuto consentire a persone con intenti dannosi di infiltrarsi nei sistemi con Microsoft Office installato.
Immagine: Checkpoint ResearchI rapporti CPR affermano inoltre che questa vulnerabilità (ora risolta con l'aggiornamento) può essere sfruttato per eseguire obiettivi di codice tramite app e file di MS Office come Outlook (.EML), Word (.DOCX) ed Excel (.EXE), tra gli altri. Le vulnerabilità hanno colpito l'intero ecosistema Microsoft Office, vecchio e nuovo, come confermato da Yaniv Balmas, responsabile della ricerca informatica presso Check Point Software. Ha anche spiegato che il codice legacy agisce come un anello debole nella catena di sicurezza di Microsoft Office.
Questo difetto è stato scoperto in Microsoft Office quando CPR stava cercando di testare Microsoft Graph, un modulo di MS Office che consente agli utenti per progettare disegni e grafici. Il processo utilizzato su MS Graph da CPR è stato chiamato Fuzzing, che è una tecnica di test automatizzato del software che identifica i bug del software in qualsiasi applicazione. L'idea alla base del fuzzing è semplice poiché il tester deve solo inserire dati non validi e verificare come l'app reagisce a questi dati e registrare gli errori di codifica e i difetti di sicurezza.
Immagine: Checkpoint ResearchLa vulnerabilità è stata trovata su Excel 95, che è un formato vecchio e non utilizzato al giorno d'oggi ma poiché è supportato da tutte le applicazioni di MS Office, rende tutte le app rimanenti vulnerabili a un attacco di hacker. CPR ha trovato finora solo quattro difetti che sono stati segnalati a Microsoft e sta continuando la ricerca di altri difetti s all'interno di Microsoft Office.
Microsoft ha risposto rapidamente al rapporto evidenziato da CPR e sono state rilasciate patch a questo difetto distribuendo gli aggiornamenti CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 e CVE-2021-31939. Se desideri aggiornare il tuo PC, segui questi passaggi:
Passaggio 1: premi Windows + I per aprire la finestra Impostazioni.
Passaggio 2: fai clic su Aggiornamento e impostazioni.
Passaggio 3: fai clic su Controlla aggiornamenti e, se gli aggiornamenti sono stati implementati nella tua regione, verranno installati automaticamente .
leggi: 0
