Falla zero-day in Internet Explorer: venerdì la patch

Venerdì Microsoft renderà disponibile un aggiornamento di sistema che risolverà il problema evidenziato nei giorni scorsi. Disponibili altri dettagli sugli attacchi e sul workaround
di Fabio Boneschi pubblicata il 20 Settembre 2012, alle 09:36 nel canale SicurezzaMicrosoft
Ci sono altre novità per la falla zero-day descritta in questo Security Advisory 2757760: Microsoft aveva preannunciato di voler tenere sotto osservazione l'evoluzione degli eventi e poche ore fa ha aggiornato questa pagina rilasciando un primo Fix It dedicato che modifica le modalità di caricamento in memoria di MSHTML.DLL. Da quanto si apprende dal blog l'aggiornamento rilasciato precede di pochi giorni l'update ufficiale che a partire da venerdì sarà disponibile attraverso Microsoft Update.
Nella nota diffusa da Microsoft vengono descritti altri dettagli relativi agli attacchi fino a oggi messi a segno sfruttando la vulnerabilità: le azioni malevole sono stare portate a termine su sistemi con Internet Explorer a 32 bit e in presenza di plug-in di terze parti. In queste situazioni su sistemi operativi Windows Vista e Windows 7 è stato possibile aggirare le protezioni offerte dalle tecnologie ASLR e DEP.
Oltre al workaround già disponibile da alcuni giorni è ora possibile procedere all'installazione del nuovo Fix o predisporre i propri sistemi per ricevere l'aggiornamento nella giornata di venerdì.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoassolutametne falso per almeno 2 motivi
1 il componente con il bug MSHTML.DLL viene usato anceh da altri moduli del so quindi anche senza usare IE il sistema risulta comunque attacabile.
2 dare l'idea che non usare IE renda immuni dai problemi istiga gli utenti a non aggiornare i loro sistemi rendendo per il punto 1 il sistema un pericolo per se stesso e gli altri perche la percezione di sicurezza (sbagliata) rende di fatto il sistema vulnerabile.
In caso di XP bisogna accertarsi di avere l'ultima release disponibile, la 8.
Se si usa Vista o 7 deve essere la versione 9.
In Windows 8 è ovviamente già presente l'ultima versione, la 10.
La vulnerabilità in oggetto affligge comunque tutte le versioni di Windows Internet Explorer, dalla 6 alla 9, con l'esclusione della 10.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".