Ancora non è stata risolta la precedente vulnerabilità scoperta in Microsoft Word (e nessun intervento è annunciato in seno all’aggiornamento mensile previsto per domani 12 Dicembre) e già per il word editor del gruppo di Redmond si apre un nuovo allarme: una nuova falla è stata scoperta e confermata da Microsoft.
Secunia (SA23205) non esita a fornire del problema una spiegazione totalmente allarmante spingendo al massimo il grado di pericolosità del bug e motivando il tutto soprattutto con la disponibilità online del codice di exploit, facilmente convertibile dunque nelle prossime settimane in un attacco di massa come molti altri già sono comparsi in passato.
Microsoft conferma il tutto tramite il proprio Security Response Center Blog indicando in tutte le versioni di Word una possibile minaccia per l’utenza. Tutte, tranne una: Word 2007 è salvo, la vulnerabilità non è stata riscontrata e dunque nel momento in cui il bug verrà presumibilmente risolto il mercato sarà ormai pronto a portare all’utenza il nuovo Office 2007.
Secondo Microsoft alcuni attacchi sarebbero già stati documentati, ma il coinvolgimento sarebbe assolutamente minimo (con ulteriore precisazione: per “minimo” il team intende poche unità, se non casi isolati). In queste circostanze il gruppo prende tempo e preferisce attendere la disponibilità di patch qualitative prima di procedere alla distribuzione dell’aggiornamento. In questo caso specifico l’aggiornamento mensile era troppo prossimo: se il problema dovesse degenerare è possibile un intervento “out-of-cycle”, al momento però ancora non ipotizzato.
«Have a good weekend all» e attenzione ai file di Word di origine non garantita, in attesa che dalla casa madre arrivino indicazioni e patch di garanzia.