Lunedì 28 Aprile 2014
Vulnerabilità Zero-Day su Internet Explorer

Microsoft ha confermato l'esistenza della vulnerabilità Zero-Day CVE-2014.1776 di Internet Explorer che è stata già sfruttata da cyber-criminali per infettare sistemi Windows.

Il bug coinvolge le versione dalla 6 alla 11 inclusa, ma gli attacchi sono rivolti alle versioni dalla 9 alla 11.

La falla permette l'esecuzione di codice da remoto e sfrutta una vulnerabilità di tipo use-after-free, ossia la modalità con cui un oggetto in memoria è stato cancellato o allocato in modo improprio: questa vulnerabilità della memoria permette al codice malevolo di venire eseguito nel sistema da remoto.

Uno dei pericoli che corre l'utente ignaro è che i cyber-criminali stanno mettendo online siti appositamente creati per sfruttare attivamente tale vulnerabilità ed infettare chi fa uso del browser in questione.

La patch risolutiva potrebbe essere pronta per il prossimo "Patch Tuesday", il 13 maggio, tuttavia nel frattempo si consiglia di

  • installare Enhanced Mitigation Experience Toolkit (EMET) 
  • cambiare le impostazioni di navigazione bloccando i controlli ActiveX e Active Scripting 
  • se usate IE 10 o le versioni successive attivate Enhanced Protected Mode che previene il vostro browser da attacchi Zero-Day

Inoltre ricordiamo che qualsiasi patch rilasciata non sarà compatibile con Windows XP che rimarrà pertanto vulnerabile anche a questa falla di Internet Explorer. 

Aggiornamento del 1 Maggio 2014: Microsoft ha rilasciato la patch per la vulnerabilità in questione ed include anche Windows XP i cui utenti possono quindi installare l'aggiornamento di sicurezza. 


Fonte: FireEye Reasearch Labs  

Vedi anche: