SIAMO GEEK

MSIE + Flash = 0-Day

Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook.

Esistono dei fattori mitiganti, alcuni dei quali attivi per default nelle installazioni, altri che necessitano di configurazioni o installazioni particolari:

  • per default Outlook e gli altri client di posta di Microsoft visualizzano i contenuti HTML con i valori dei Restricted Sites, anche se in molti disabilitano questa protezione;
  • per default sulle versioni Server di Windows Internet Explorer gira in modalità sicura, e per default Adobe Flash non dovrebbe essere installato su un server;
  • Microsoft EMET versione 4.1 e 5.0 bloccano o identificano questo tipo di attacco;
  • ovviamente chi non ha installato il plugin di Flash in Internet Explorer o chi l’ha disabilitato non è vulnerabile a questo tipo di attacco.

Dai 2 maggio Microsoft ha reso disponibile un aggiornamento fuori banda su Windows Update. Anche chi ha Winodws XP riceverà eccezionalmente questo aggiornamento: Microsoft ha deciso di fare un’eccezione in quanto il termine del supporto è scaduto da poco. Il codice dell’aggiornamento per Windows XP è KB2964358.

La penetrazione di Internet Explorer, indipendentemente dalla versione va dal 25% al 30%, a seconda del tipo di statistiche, ma sale notevolmente se si considerano ambienti business.

Articolo modificato dopo la prima pubblicazione:

  • 2 maggio 2014: corretto e ampliato il paragrafo relativo alla disponibilità di un aggiornamento e alla disponibilità dello stesso anche per Windows XP

Pubblicato

in

,

da

Luigi Rosa

Tag:

, , ,

Commenti

5 risposte a “MSIE + Flash = 0-Day”

  1. Avatar Gino
    Gino

    Una risposta per chi sosteneva che dopo l’8 aprile non sarebbe cambiato nulla per XP 🙂

    Rispondi
  2. Avatar Fabiano
    Fabiano

    Beh… se uno che usa ancora XP non si decide a cambiare almeno il browser allora se la va proprio a cercare!

    Rispondi
  3. Avatar storie laboratorio informatica
    storie laboratorio informatica

    Non ho mai usato EMET e l’ho appena installato per “curiosità”…

    Chiaramente non uso Internet Explorer, (se non casi molto eccezionali )

    Rispondi
  4. Avatar Sergio
    Sergio

    E’ appena uscito fresco fresco l’aggiornamento di Flash

    Rispondi
  5. SIAMO GEEK – Sperimentatori, entusiasti della tecnologia | Conformità non significa sicurezza

    […] informativo. In altre parole, oggi nessun consulente ISO o ITIL vi parlerà di heartbleed o di CVE-2014-1776, eppure sono due dei rischi più concreti che potrebbero minare la qualità del sistema […]

    Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *