Solo Office negli aggiornamenti di Microsoft per marzo 2008. Puntuale come al solito l'azienda di Redmond ha rilasciato nella tarda serata italiana di ieri gli aggiornamenti di sicurezza del mese di marzo. I bollettini di sicurezza sono 4, tutti identificati come critici e riguardano la suite Office, compreso Outlook, e alcuni prodotti con componenti condivisi come Visual Studio, BizTalk e Commerce Server.
Nel bollettino di sicurezza MS08-014 vengono corrette anche alcune vulnerabilità di Excel note dallo scorso gennaio e che erano state sfruttare nei giorni scorsi per diversi attacchi portati da allegati Excel nocivi.
È possibile scaricare automaticamente tutti gli aggiornamenti senza attendere la notifica automatica di Windows navigando con il proprio Internet Explorer sul sito Microsoft Update oppure avviare dal menu start di Windows Vista il programma Windows Update. Microsoft Update provvede ad aggiornare anche i programmi compresi nella suite Office il cui download è possibile anche da Office Update.
Le vulnerabilità corrette sono in totale 12. Il prodotto più vulnerabile è Microsoft Excel con 8 vulnerabilità trovate nelle versioni dalla 2000 alla recente Mac 2008, compreso Excel Viewer. Vulnerabilità che sono tuttavia critiche solamente per gli utenti di Excel 2000. Colpito da una vulnerabilità critica anche Outlook (dalla versione 2000 alla 2007) e alcuni componenti condivisi di Office 2000, XP, 2003 e 2004 per Mac. Critico anche il problema del Microsoft Office Web Components 2000, sfruttato da diverse applicazioni di Redmond.
Corposo il problema descritto dal bollettino MS08-014 dedicato ad Excel. Ad essere colpiti sono diversi aspetti del programma: dalla validazione dei dati alla visualizzazione dei documenti fino ad arrivare all'importazione di file esterni. I problemi non sono sfruttabili senza l'intervento dell'utente: anche se si riceve un'e-mail con un file Excel allegato, questo va aperto per attivare l'attacco.
Il bollettino MS08-015 riguarda uno dei programmi più diffusi di Microsoft: Outlook. Il problema risiede nella gestione di un particolare tipo di link "mailto" che, se utilizzato su un sito o attraverso altri sistemi, può portare all'errore l'applicazione e aprire le porte all'installazione di codice nocivo. Se cliccate questo link su un sito Web, Outlook non esegue i controlli di validità e si troverà ad essere aperto a possibili exploit.
Infine, nei bollettini MS08-016 e MS08-017 vengono corretti altri due problemi che affliggono in diverso modo uno o più componenti di Windows. Il primo riguarda la gestione della memoria durante l'apertura di file Office, il secondo la componente Office Web Components, una collezione di controlli COM che permettono l'interoperabilità fra alcuni programmi Microsoft e siti Web consentendo, ad esempio, di visualizzare file o documenti Office all'interno di normali pagine HTML.
Assieme agli aggiornamenti segnalati, Microsoft ha rilasciato anche una patch non di sicurezza per Windows Vista. La patch, segnata con il numero di knowledge base 946041, serve a migliorare il ripristino di un computer dopo un periodo di sospensione, a migliorare il sistema di aggiornamenti auomatici e ad evitare che il computer si blocchi durante la riproduzione di alcuni tipi di video.
Aggiornati anche il filtro antiphishing, lo strumento di rimozione malware e il filtro di posta indesiderata di Outlook.
