Esattamente una settimana dopo il tradizionale Patch Tuesday, Microsoft ha comunicato la presenza di una vulnerabilità zero-day in Windows. L’azienda di Redmond non ha etichettato il bollettino di sicurezza con il classico sistema che indica la gravità della falla, ma ha comunque specificato che un eventuale exploit richiede l’interazione dell’utente. Infatti, l’attacco potrebbe essere eseguito mediante un file Office inviato come allegato oppure scaricato da un sito web.
La vulnerabilità è stata scoperta nel codice del sistema operativo che gestisce gli oggetti OLE (Object Linking and Embedding), la tecnologia che permette alle applicazioni di condividere dati e funzionalità. In Office è usata, ad esempio, per inserire dati Excel in un documento Word. Microsoft ha ricevuto segnalazioni di alcuni attacchi effettuati tramite PowerPoint, ma il bug può essere sfruttato con qualsiasi applicazione inclusa nella suite di produttività. In attesa della patch, che dovrebbe essere distribuita il prossimo 11 novembre, gli utenti possono applicare il Fix it che risolve temporaneamente il problema.
Il fix non funziona con le versioni a 64 bit di PowerPoint 2007/2010/2013, installato sulle edizione a 64 bit di Windows 8 e Windows 8.1. Curiosamente, la scorsa settimana era stata rilasciata una patch (MS14-060) che risolve un altro bug in OLE, sfruttato sempre tramite file PowerPoint.
Affinché l’attacco possa avere successo, il malintenzionato deve convincere l’utente ad aprire il file inviato come allegato di un messaggio di posta elettronica oppure scaricato da un sito web compromesso. Per questo motivo, Microsoft consiglia di non aprire file proveniente da fonti non sicure, di usare un firewall e un antivirus aggiornati, e di attivare il Controllo dell’account (UAC).