Falla zero-day in Internet Explorer: venerdì la patch

Falla zero-day in Internet Explorer: venerdì la patch

Venerdì Microsoft renderà disponibile un aggiornamento di sistema che risolverà il problema evidenziato nei giorni scorsi. Disponibili altri dettagli sugli attacchi e sul workaround

di pubblicata il , alle 09:36 nel canale Sicurezza
Microsoft
 

Ci sono altre novità per la falla zero-day descritta in questo Security Advisory 2757760: Microsoft aveva preannunciato di voler tenere sotto osservazione l'evoluzione degli eventi e poche ore fa ha aggiornato questa pagina rilasciando un primo Fix It dedicato che modifica le modalità di caricamento in memoria di MSHTML.DLL. Da quanto si apprende dal blog l'aggiornamento rilasciato precede di pochi giorni l'update ufficiale che a partire da venerdì sarà disponibile attraverso Microsoft Update.

Nella nota diffusa da Microsoft vengono descritti altri dettagli relativi agli attacchi fino a oggi messi a segno sfruttando la vulnerabilità: le azioni malevole sono stare portate a termine su sistemi con Internet Explorer a 32 bit e in presenza di plug-in di terze parti. In queste situazioni su sistemi operativi Windows Vista e Windows 7 è stato possibile aggirare le protezioni offerte dalle tecnologie ASLR e DEP.

Oltre al workaround già disponibile da alcuni giorni è ora possibile procedere all'installazione del nuovo Fix o predisporre i propri sistemi per ricevere l'aggiornamento nella giornata di venerdì.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sintopatataelettronica20 Settembre 2012, 10:30 #1
C'è già una patch definitiva e sicura al 100%: non usare Internet Explorer!!!
coschizza20 Settembre 2012, 11:13 #2
Originariamente inviato da: sintopatataelettronica
C'è già una patch definitiva e sicura al 100%: non usare Internet Explorer!!!


assolutametne falso per almeno 2 motivi

1 il componente con il bug MSHTML.DLL viene usato anceh da altri moduli del so quindi anche senza usare IE il sistema risulta comunque attacabile.
2 dare l'idea che non usare IE renda immuni dai problemi istiga gli utenti a non aggiornare i loro sistemi rendendo per il punto 1 il sistema un pericolo per se stesso e gli altri perche la percezione di sicurezza (sbagliata) rende di fatto il sistema vulnerabile.
fastleo6320 Settembre 2012, 15:40 #3
Esatto. il browser di Microsoft è profondamente integrato nei suoi sistemi operativi, ed è fondamentale aggiornarlo anche se non lo si utilizza.
In caso di XP bisogna accertarsi di avere l'ultima release disponibile, la 8.
Se si usa Vista o 7 deve essere la versione 9.
In Windows 8 è ovviamente già presente l'ultima versione, la 10.
La vulnerabilità in oggetto affligge comunque tutte le versioni di Windows Internet Explorer, dalla 6 alla 9, con l'esclusione della 10.
Opteranium20 Settembre 2012, 15:54 #4
certo che è una bella seccatura, avere IE così integrato con win, ti possono bucare anche se non lo usi. Mi sembra veramente grave. Per cosa, poi? Farlo caricare in 0.05 secondi in meno?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^