Microsoft: vulnerabilità di tipo "zero-day" su Internet Explorer
(0 voti, media 0 su 5)
Lunedì 18 Gennaio 2010 11:26
Lo scorso Venerdì 14 Gennaio sono circolate in Rete alcune informazioni circa una vulnerabilità di tipo "zero-day" (CVE-2010-0249) attivamente sfruttata che interessa Microsoft Internet Explorer. La notizia è stata confermata da Microsoft nell'avviso di sicurezza 979352. Le versioni ed i sistemi interessati dalla vulnerabilità sono Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4, Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 sulle edizioni supportate di Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

La vulnerabilità è causata da un errore nell'allocazione della memoria e può essere sfruttata da un attaccante inducendo un utente a visitare, con l'applicazione interessata, una pagina web appositamente predisposta. L'impatto della vulnerabilità sulla sicurezza dei sistemi consente l'esecuzione arbitraria di codice da parte di un attaccante remoto nel contesto di sicurezza dell'utente che ha avviato l'applicazione.
I fattori mitiganti nello sfruttamento della vulnerabilità, per la quale al momento non è disponibile il software correttivo, sono l'elevazione della protezione per l'area Internet al massimo livello (MENUSTRUMENTI-OPZIONI INTERNET-PROTEZIONE). Inoltre, Internet Explorer sui sistemi Vista e Windows 7 per impostazione predefinita prevede l'attivazione del Data Execution Prevention (DEP).
Ulteriori dettagli e l'elenco dei sistemi e versioni interessate sono disponibili presso le seguenti URL:

http://www.microsoft.com/technet/security/advisory/979352.mspx

http://blogs.technet.com/msrc/archive/2010/01/17/further-insight-into-security-advisory-979352-and-the-threat-landscape.aspx

http://www.kb.cert.org/vuls/id/492515

 

 

Commenti

E' necessario autenticarsi per poter inviare commenti
Tags:
< Prec.   Succ. >
Ultimo aggiornamento Lunedì 18 Gennaio 2010 12:13