Per Excel è ormai un’ecatombe di vulnerabilità: l’ennesima falla ad alta pericolosità è stata trovata nel software per i fogli di calcolo di Microsoft e trattasi ormai del quarto caso del genere nel giro di appena un mese. Vista la prossimità della scadenza è presumibilmente da escludersi un intervento risolutivo già all’interno dell’aggiornamento mensile di Luglio, peraltro già annunciato dal gruppo.
La nuova vulnerabilità è stata scoperta da “Nanika” e giudicata sia da FrSIRT (ADV-2006-2689) che da Secunia (SA20268) al massimo grado della scala di pericolosità. I software coinvolti sono le versioni 2000, 2002 e 2003 di Excel nonchè le versioni 2000, XP e 2003 di Microsoft Office.
L’exploit può essere affondato proponendo all’utente file .xls appositamente costruiti, la cui apertura richiede la riparazione del file da parte dell’utente. Quest’ultimo aspetto rappresenta dunque un primo elemento mitigante, la cui azione va ad assommarsi al fatto che la vulnerabilità coinvolge esclusivamente talune versioni asiatiche del software (quali ad esempio la versione cinese). L’unica soluzione al momento proponibile è rappresentata dalla non-apertura di file Excel di cui non si è certi della sicurezza e della provenienza.
Annunciate, nel contempo, le patch che caratterizzeranno l’aggiornamento mensile in uscita martedì 11 Luglio. Con il tradizionale Microsoft Security Bulletin Advance Notification da Redmond si segnala a tal proposito l’arrivo di 4 bollettini relativi a Microsoft Windows e 3 bollettini relativi a Microsoft Office. Ogni bollettino potrebbe contemplare la risoluzione di una o più falle contemporaneamente, dunque non è al momento possibile individuare come e se verranno riparati gli ultimi problemi registrati da Excel.