Il giorno zero di IE

Microsoft conferma una nuova minaccia zero day per la sicurezza di Internet Explorer. A finire sotto accusa è sempre la gestione dei fogli di stile CSS
Microsoft conferma una nuova minaccia zero day per la sicurezza di Internet Explorer. A finire sotto accusa è sempre la gestione dei fogli di stile CSS

Si torna a parlare di insidiosi bug in Internet Explorer, dopo che Microsoft ha confermato l’individuazione di una nuova vulnerabilità “zero-day” nel proprio browser. A quanto sembra, il problema riguarda tutte le versioni stabili del programma, dalla 6 alla 8. La release beta di IE 9 potrebbe invece essere immune.

La gestione dei capricciosi fogli di stile CSS continua a lasciare una porta aperta ai malware che riescono a superare le collaudate difese dei sistemi Microsoft, tipo il Data Execution Prevention (DEP) e l’Address Space Layout Randomization (ASLR).

Utilizzando la falla riferita al file “mshtml.dll”, che processa erroneamente i tag dei Cascading Style Sheets, un malintenzionato può attaccare il computer ed eseguire codice malevolo da remoto. Secondo Microsoft, Windows Server 2003 e 2008 dovrebbero ridurre la portata di un eventuale approccio da parte di un malintenzionato, perché in queste versioni dell’OS i siti web vengono caricati con il massimo livello di sicurezza anche nella configurazione standard.

Al momento non c’è ancora nessuna patch da scaricare, ma il colosso di Redmond consiglia di installare la versione 2.0 del “solito” strumento EMET (Enhanced Mitigation Experience Toolkit), per proteggere dall’exploit i processi in esecuzione.

Roberto Pulito

Link copiato negli appunti

Ti potrebbe interessare

24 12 2010
Link copiato negli appunti