Quattro vulnerabilità di sicurezza nei prodotti della suite Microsoft Office, tra cui Excel e Office online. Ad individuarle Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, che invita gli utenti di Windows ad aggiornare il software. Le vulnerabilità – spiegano i ricercatori – sono il risultato di errori di parsing nel codice legacy trovato nei formati di file Excel95 e potrebbero esistere da diversi anni. Il rischio è aprire le porte a malintenzionati per eseguire codici dannoso tramite documenti di Office, come Word, Excel e Outlook.
“Le vulnerabilità trovate riguardano quasi tutto l’ecosistema Microsoft Office – spiega Yaniv Balmas, Head of Cyber Research di Check Point Software -. È possibile eseguire un attacco del genere su Word, Outlook e altri software. Abbiamo capito che le vulnerabilità sono dovute a errori di parsing fatti nel codice legacy. Uno degli insegnamenti principali della nostra ricerca è che il codice legacy continua ad essere un anello debole nella security chain, specialmente in software complessi come Microsoft Office. Anche se abbiamo trovato solo quattro vulnerabilità sulla superficie di attacco, non si può mai dire quante altre falle come queste siano ancora in giro. Invito caldamente gli utenti di Windows ad aggiornare immediatamente il loro software, poiché ci sono diversi vettori di attacco possibili per sfruttare le vulnerabilità scovate.”
Check Point rende noto che Microsoft ha patchato le vulnerabilità di sicurezza, rilasciando CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. La quarta patch, classificata come (CVE-2021-31939), sarà rilasciata oggi, 8 giugno, nel Patch Tuesday.