24/09/2019 di Redazione

Internet Explorer a rischio, per la patch non si può aspettare

Microsoft ha rilasciato due aggiornamenti di sicurezza di “emergenza”, fuori dalla cadenza mensile del Patch Tuesday, per risolvere due bug importanti in Internet Explorer e Microsoft Defender.

immagine.jpg

Se il pericolo è alto, come può esserlo un bug di severità “critica” in Internet Explorer, allora serve una patch di emergenza. Microsoft esce dagli schemi soliti, quelli dei rilasci a cadenza mensile del Patch Tuesday, pubblicando due correttivi di sicurezza per altrettanti problemi scoperti in due dei suoi software. Il più grave riguarda Internet Explorer: nel browser è stata scoperta una vulnerabilità zero-day, riguardante il motore di scripting e già sfruttata per attacchi con esecuzione di codice da remoto.

 

Più precisamente, scrive l’azienda di Redmond, “la vulnerabilità potrebbe corrompere la memoria in modo da permettere a un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente”. In pratica, chi sferra l’attacco può ottenere privilegi analoghi a quelli dell’utente che in quel momento è registrato (loggato), sia come utente semplice sia come amministratore. Nella peggiore delle ipotesi, è possibile che vengano installati programmi, modificati o cancellati dati e creati nuovi account dotati di privilegi sul sistema. Prima che tutto questo succeda, tuttavia, è necessario che l’utente si rechi attraverso il browser su un sito Web malevolo, indotto a compiere quest’azione da messaggi di phishing o pubblicità (anch’esse malevole) che compaiono sul motore di ricerca.

 

Per quanto il market share di Internet Explorer sia ormai compresso intorno al 2% (ovvero sul totale delle sessioni di navigazione mensili, meno del 2% impiegano questo browser, secondo i dati di StatCounter), Microsoft ha ritenuto necessario correre ai ripari, senza attendere il mese di ottobre per il prossimo Patch Tuesday. Il correttivo alla vulnerabilità zero-day CVE-2019-1367 va installato manualmente.

 

Il secondo problema scoperto e corretto è un bug di Microsoft Defender, il software di sicurezza nativamente integrato in Windows 8 e 10. Identificata con la sigla CVE-2019-1255, si tratta di una vulnerabilità denial of service che può essere sfruttata per impedire agli utenti di eseguire sistemi binari, ma solamente se chi attacca ha ottenuto i diritti di “esecuzione” sul sistema. In questo caso, a differenza del precedente, non sono stati osservati tentativi di exploit. L’aggiornamento viene gestito da remoto dai server di Microsoft, senza che all’utente sia richiesta alcuna azione.

 

 

ARTICOLI CORRELATI