Internet Explorer, falla di fine anno

Internet Explorer, falla di fine anno

Microsoft avverte dell'esistenza di una vulnerabilità nelle versioni meno recenti del suo browser web, una falla presumibilmente usata per attacchi mirati e per cui non al momento non esiste patch risolutiva
Microsoft avverte dell'esistenza di una vulnerabilità nelle versioni meno recenti del suo browser web, una falla presumibilmente usata per attacchi mirati e per cui non al momento non esiste patch risolutiva

Microsoft comunica che le versioni 6, 7 e 8 di Internet Explorer sono affette da una vulnerabilità correntemente usata da ignoti cyber-criminali per infettare i PC basati su Windows. La falla, precedentemente ignota, non riguarderebbe le versioni più recenti di IE (la 9 e la 10).

La nuova vulnerabilità zero-day è stata apparentemente usata in un attacco mirato , un attacco partito dal sito del Council on Foreign Relations (CFR) compromesso con codice JavaScript malevolo: nei casi in cui il browser fosse impostato con un particolare parametro linguistico (inglese US, cinese, giapponese, coreano o russo), il codice JS è programmato per sfruttare un exploit di tipo heap spraying ed eseguire codice da remoto sulla macchina infetta.

Attualmente sconosciuti gli autori dell’attacco, con gli esperti inclini ad addossare la colpa a ignoti cracker cinesi. L’uso specifico di un sito come quello del CFR, poi, non lascia molti dubbi sulla natura dell’operazione e la volontà dei cracker di prendere di mira organizzazioni o persino individui ben precisi.

In attesa di una patch correttiva che chiuda il nuovo buco in IE, infine, Microsoft suggerisce fattori attenuanti e raccomanda le potenziali contromisure per ridurre al minimo i rischi di infezione: imperativo l’uso di IE 9 o 10 (non disponibili per Windows XP), del pacchetto EMET , e consigliata la disabilitazione di Flash e Java sul browser.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

31 12 2012
Link copiato negli appunti