Zero-day per Internet Explorer (con fix)

Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Zero-day per Internet Explorer (con fix)”

  1. No, ‘spetta un attimo…

    Stanno togliendo il supporto a XP, e ancora supportano quel bubbone purulento di Exploder 6?

Spazio per un commento