Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.
Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.
La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.
Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.
La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).
Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)
Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.
Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.
2 risposte a “Zero-day per Internet Explorer (con fix)”
No, ‘spetta un attimo…
Stanno togliendo il supporto a XP, e ancora supportano quel bubbone purulento di Exploder 6?
Finche’ XP e’ supportato lo e’ anche IE6 e fino al 9 aprile 2014 Xp e’ pienamente supportato, non “stanno togliendo” nulla.
http://inaneworld.com/2013/07/03/internet-explorer-end-of-life-lifecycle-dates/