Microsoft ha rilasciato il Security Bulletin per Marzo che include 2 patch di sicurezza per varie vulnerabilità, precisamente 6 in Microsoft Office, e una in Microsoft Windows, di minore importanza ma comunque pericolosa.
La vulnerabilità di Windows non interessa gli utenti dei sistemi operativi più recenti, specificatamente Windows XP SP2, Windows XP x64 e Server 2003 x64.
La patch relativa a Office include correzioni per 5 vulnerabilità specifiche in Excel, che comprendono l'uso di file malformati nel range, nel formato, nella descrizione, nella grafica e nei record. In ciascun caso, un attacker è in grado di guadagnare il controllo completo di un sistema affetto se l'utente è loggato come administrator. Microsoft ha inoltre rilasciato una correzione per un problema "critico" che si verifica sfruttando in "routing slip" malformato in un documento Office. Esecuzione remota di codice e controllo completo del sistema sono possibili sfruttando anche questa vulnerabilità. Questi problemi interessano tutti gli utenti Windows Office a partire dalla versione "2000".
La patch per Windows corregge invece una vulnerabilità scoperta da due ricercatori di Princeton. Sui computers con Windows Server 2003 senza service pack o Windows XP SP1, la vulnerabilità consente di acquisizione di privilegi più elevati ed ad un eventuale attacker di scovare facilmente ulteriori vulnerabilità di privilege escalation in applicazioni di terzi. Il codice proof of concept relativo a questa vulnerabilità era stato reso pubblico un mese fa e dimostrava come le ACLs (access control lists) usate nelle applicazioni Windows potessero subire un attacco. I codici exploit tentano di sfruttare i controlli di accesso eccessivamente permissivi dei servizi third-party e possono essere usati anche per l'exploit dei servizi predefiniti su Windows XP SP1 e Windows Server 2003. Una ACL è una tabella che permette di definire per ciascun elemento del file system quali permessi (lettura, scrittura, modifica ecc.) dispone ciascun utente che accede al sistema.
Il Security Bulletin di Aprile 2006, previsto al rilascio l' 11 Aprile.
