Microsoft ha pubblicato un avviso di sicurezza (2488013) per segnalare una vulnerabilità di tipo "zero-day" (CVE-2010-3971) che interessa le versioni 6,7, e 8 di Microsoft Internet Explorer. La vulnerabilità riguarda una errata gestione del processo di allocazione della memoria da parte dell'applicazione quando vengono gestiti parametri e valori anomali durante la gestione di CSS.

L'impatto della vulnerabilità consentirebbe ad un attaccante remoto di eseguire codice arbitrario con gli stessi privilegi dell'utente connesso al sistema o di creare condizioni di denial of service. Per la vulnerabilità segnalata risultano disponibili in Rete alcuni exploit in grado di eludere anche le più recenti contromisure di protezione della memoria come ASLR e DEP.

Microsoft al momento non ha ancora rilasciato il software correttivo che non sarà disponibile neanche nel prossimo aggiornamento di sicurezza pianificato per il mese di Gennaio 2011 secondo quanto appreso dalla notifica dei bollettini previsti. Una sorta di workaround, indicato da Microsoft nel citato avviso di sicurezza, riguarda l'impiego di Microsoft Enhanced Mitigation Experience Toolkit (EMET) che non è direttamente pertinente alla vulnerabilità segnalata ma rende più complesso lo sfruttamento della stessa.

I fattori mitiganti per un potenziale attacco indicati da Microsoft sono la funzione di modalità protetta prevista in Internet Explorer per le versioni dei sistemi operativi successivi a Vista in grado di arginare l'esecuzione di codice remoto con privilegi ristretti. Per impostazione predefinita, inoltre, Internet Explorer sui sistemi Windows Server 2003 e 2008 è configurato in modalità protetta (Enhanced Security Configuration) che imposta il livello di sicurezza per l'area Internet al massimo livello possibile. Questa impostazione contribuisce ad aumentare il livello di sicurezza quando si visitano siti web non include nella Internet Explorer Trusted sites zone. Un'altro fattore mitigante per il tipo di attacco conseguente allo sfruttamento della vulnerabilità è l'impostazione predefinita per cui Microsoft Outlook, Microsoft Outlook Express e Windows Mail aprono i messaggi di posta elettronica formattati in HTML nella modalità di sicurezza ristretta che disabilita l'esecuzione di script e controlli Active X. Tuttavia se l'utente apre un collegamento ipertestuale verso una risorsa web appositamente predisposta tale accorgimento non è più operativo e si è esposit all'attacco. Lo scenario di attacco più probabile per tale tipo di vulnerabilità, infatti, è quello che prevede proprio l'interazione dell'utente che deve essere indotto ad aprire una pagina web con l'applicazione interessata affinché l'attacco abbia successo. Gli utenti configurati con privilegi limitati risultano, pertanto, meno esposti all'attacco rispetto a quelli con privilegi di amministratore.

Ulteriori dettagli sono disponibili alla seguente URL:

http://www.microsoft.com/technet/security/advisory/2488013.mspx

Microsoft ha pubblicato un aggiornamento, disponibile anche in lingua italiana, al precedente avviso di sicurezza (2488013) relativo all'implementazione automatica (Microsoft Fix it) del workaround elaborato per arginare e mitigare le conseguenze di un potenziale attacco perpetrato sfruttando la vulnerabilità dei CSS di Microsoft internet Explorer.

Ulteriori dettagli ed aggiornamenti sono disponibili presso la seguente URL: http://support.microsoft.com/kb/2488013