Il popolarissimo formato DOC di Microsoft Word e molti dei programmi Microsoft per leggere questo formato hanno delle falle che consentono di confezionare documenti-trappola. Basta aprirli per consegnare all'aggressore le chiavi del proprio computer. L'argomento è già stato toccato nella puntata precedente, ma occorre ritornarvi perché è stata scoperta una terza falla, per la quale esiste anche un file dimostrativo, che manda i crash non solo Word, ma anche molti programmi alternativi.
La falla è stata annunciata da Milw0rm e il file dimostrativo è scaricabile da qui. In quanto dimostrazione, è innocuo, ma abbastanza deleterio da mandare in crash Microsoft Word, compresa la versione Mac (io ho testato la 2004), e il programma gratuito di lettura dei file Word offerto da Microsoft. Anche i programmi alternativi non reggono bene il test: NeoOffice (porting di OpenOffice per Mac) crasha dicendo di aver esaurito la memoria. Se la cava meglio AbiWord. Microsoft ha deciso di non risolvere queste tre falle nel consueto aggiornamento mensile di sicurezza di dicembre; si spera che provveda in quello di gennaio.
Nel frattempo, visto che la falla viene già sfruttata da alcuni vandali informatici e che il formato Word è diffusissimo e considerato sicuro da molti utenti, il consiglio è evitarlo ovunque possibile, per esempio salvando in formati differenti (RTF, PDF, OpenDocument, testo semplice) i documenti che dovete far circolare.
Se ricevete un file Word da sconosciuti, non apritelo; se lo ricevete da qualcuno che conoscete, assicuratevi (per esempio con una telefonata) che il mittente ve l'abbia davvero inviato intenzionalmente e che non si tratti di un file inviato da un impostore; in ogni caso, apritelo solo se strettamente necessario. E' un consiglio di sicurezza che vale anche per qualsiasi altro tipo di file.
Se disponete di un account di posta Gmail, avete un modo sicuro per leggere i documenti Word: visualizzarli tramite l'interfaccia Web di Gmail, che è in grado di mostrarne perlomeno il testo. Un altro modo per gestire in modo sicuro i file Word è usare le applicazioni via Web, come Google Docs and Spreadsheets oppure Ajaxwrite.
--
http://www.steo.blogspot.com
