MSIE + Flash = 0-Day

Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook.

Esistono dei fattori mitiganti, alcuni dei quali attivi per default nelle installazioni, altri che necessitano di configurazioni o installazioni particolari:

  • per default Outlook e gli altri client di posta di Microsoft visualizzano i contenuti HTML con i valori dei Restricted Sites, anche se in molti disabilitano questa protezione;
  • per default sulle versioni Server di Windows Internet Explorer gira in modalità sicura, e per default Adobe Flash non dovrebbe essere installato su un server;
  • Microsoft EMET versione 4.1 e 5.0 bloccano o identificano questo tipo di attacco;
  • ovviamente chi non ha installato il plugin di Flash in Internet Explorer o chi l’ha disabilitato non è vulnerabile a questo tipo di attacco.

Dai 2 maggio Microsoft ha reso disponibile un aggiornamento fuori banda su Windows Update. Anche chi ha Winodws XP riceverà eccezionalmente questo aggiornamento: Microsoft ha deciso di fare un’eccezione in quanto il termine del supporto è scaduto da poco. Il codice dell’aggiornamento per Windows XP è KB2964358.

La penetrazione di Internet Explorer, indipendentemente dalla versione va dal 25% al 30%, a seconda del tipo di statistiche, ma sale notevolmente se si considerano ambienti business.


Articolo modificato dopo la prima pubblicazione:

  • 2 maggio 2014: corretto e ampliato il paragrafo relativo alla disponibilità di un aggiornamento e alla disponibilità dello stesso anche per Windows XP

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

5 pensieri riguardo “MSIE + Flash = 0-Day”

  1. Beh… se uno che usa ancora XP non si decide a cambiare almeno il browser allora se la va proprio a cercare!

Spazio per un commento