Microsoft, riaperta una vulnerabilità già corretta

Microsoft, riaperta una vulnerabilità già corretta

Una vulnerabilità già corretta nel mese di Maggio risulta nuovamente pericolosa in virtù di un nuovo metodo di attacco: nessun aggiornamento disponibile.
Una vulnerabilità già corretta nel mese di Maggio risulta nuovamente pericolosa in virtù di un nuovo metodo di attacco: nessun aggiornamento disponibile.

Lo scorso mese di giugno, Microsoft aveva rilasciato un bollettino di sicurezza indicando la correzione di un bug “zero day” scoperto da Kaspersky. Il problema era insito nel browser Internet Explorer e con il rilascio della patch il tutto sembrava definitivamente risolto ed archiviato. Qualcosa, però, non è andato per il verso giusto.

Secondo quanto spiegato ora dal ricercatore Maddie Stone (del Google Project zero), infatti, il CVE-2020-0986 risulta essere a questo punto ormai superato in virtù del fatto che la medesima vulnerabilità possa essere attaccata con un metodo differente. Ferita riaperta, insomma, a dimostrazione del fatto che la correzione di maggio sia stata più una semplice pezza che non un reale intervento risolutivo.

A distanza di 90 giorni dalla segnalazione a Microsoft, nessuna correzione è stata rilasciata e per questo motivo Google ha ora esplicitato i termini del pericolo in corso. Non vi saranno altre patch Microsoft prima di inizio gennaio, dunque la vulnerabilità è destinata a restare aperta fino ad allora: con ogni probabilità, alla luce della gravità del bug e del fatto che fosse già noto al team di Redmond, l'update sarà comunque regolarmente incluso nel prossimo ciclo mensile di aggiornamento.

Link copiato negli appunti

Ti potrebbe interessare

26 12 2020
Link copiato negli appunti