Microsoft: vulnerabilità di tipo "zero-day" su Internet Explorer

In questa categoria sono visualizzati i notiziari relativi ai temi della sicurezza ICT pubblicati dal CERT-SPC quale ulteriore mezzo per informare la Constituency del Sistema Pubblico di Connettività, cittadini ed operatori interessati su alcuni temi di interesse per la sicurezza dei sistemi informatici delle Amministrazioni connesse a SPC. L'iniziativa mira, pertanto, a contribuire alla sensibilizzazione sulle tematiche di sicurezza informatica per consolidare e maturare una cultura della sicurezza delle applicazioni e dei sistemi informatici nella P.A.

Notize collegate

Recupero dati: sfatiamo i falsi miti 18 May 2012 | 3:20 pm
Google, LinkedIn e Skype: attenzione ai falsi messaggi 10 Apr 2012 | 4:46 pm
Android: vulnerabilità risolta da un team italiano 27 Mar 2012 | 6:01 pm
WordPress vittima di nuovi attacchi 7 Mar 2012 | 4:37 pm
Android sotto attacco malware nel 2012 5 Mar 2012 | 5:02 pm
Google Chrome gestirà le password degli utenti 24 Feb 2012 | 3:00 pm
Google Wallet: una falla mette a rischio la sicurezza 10 Feb 2012 | 2:39 pm
Come difendersi dalle app pericolose 30 Jan 2012 | 9:00 am
Regali di Natale: truffe nello shopping online 19 Dec 2011 | 12:45 pm
I dati degli utenti Android e iPhone sono stati intercettati 1 Dec 2011 | 11:57 am

(0 voti, media 0 su 5)

Lunedì 18 Gennaio 2010 11:26

Lo scorso Venerdì 14 Gennaio sono circolate in Rete alcune informazioni circa una vulnerabilità di tipo "zero-day" (CVE-2010-0249) attivamente sfruttata che interessa Microsoft Internet Explorer. La notizia è stata confermata da Microsoft nell'avviso di sicurezza 979352. Le versioni ed i sistemi interessati dalla vulnerabilità sono Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4, Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 sulle edizioni supportate di Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

La vulnerabilità è causata da un errore nell'allocazione della memoria e può essere sfruttata da un attaccante inducendo un utente a visitare, con l'applicazione interessata, una pagina web appositamente predisposta. L'impatto della vulnerabilità sulla sicurezza dei sistemi consente l'esecuzione arbitraria di codice da parte di un attaccante remoto nel contesto di sicurezza dell'utente che ha avviato l'applicazione.
I fattori mitiganti nello sfruttamento della vulnerabilità, per la quale al momento non è disponibile il software correttivo, sono l'elevazione della protezione per l'area Internet al massimo livello (MENUSTRUMENTI-OPZIONI INTERNET-PROTEZIONE). Inoltre, Internet Explorer sui sistemi Vista e Windows 7 per impostazione predefinita prevede l'attivazione del Data Execution Prevention (DEP).
Ulteriori dettagli e l'elenco dei sistemi e versioni interessate sono disponibili presso le seguenti URL:

http://www.microsoft.com/technet/security/advisory/979352.mspx

http://blogs.technet.com/msrc/archive/2010/01/17/further-insight-into-security-advisory-979352-and-the-threat-landscape.aspx

http://www.kb.cert.org/vuls/id/492515

Commenti

E' necessario autenticarsi per poter inviare commenti

Tags:

< Prec.		Succ. >

Ultimo aggiornamento Lunedì 18 Gennaio 2010 12:13

Notize collegate

Commenti

Ultimi bollettini

Canale RSS - Notiziari