QR code per la pagina originale

IE9, una falla mette a rischio Windows 7

Una falla critica è stata rintracciata in IE9 su Windows 7, anche con SP1 installato. Il problema nasce da una libreria per la gestione di HTML e JS.

,

Una falla zero-day è stata rintracciata in Internet Explorer 9: a scoprire la vulnerabilità dell’ultima versione del browser Microsoft è stata la società francese di sicurezza Vupen, che ha subito lanciato l’allarme segnalando la possibilità da parte di malintenzionati di sfruttare tale falla per eseguire codice sulle macchine di ignari malcapitati.

Il sistema operativo principalmente coinvolto è Windows 7, anche nelle versioni con Service Pack 1 installato. Aggirando tutti i meccanismi di sicurezza posti da Microsoft come scudo tra l’utente e la Rete, quali ad esempio ASLR, DEP e la modalità protetta da sandbox di IE9, l’exploit individuato è in grado di sfruttare due diverse vulnerabilità: la prima permette di eseguire qualsiasi riga di codice all’interno della sandbox, la seconda invece crea un buco verso l’esterno attraverso il quale l’attacco arriva al cuore del sistema operativo.

Secondo quanto reso noto da Vupen, il rischio di incappare in un aggressione basata proprio su tale bug è reale, nonostante l’exploit sia stato realizzato nei laboratori della società e messo a disposizione esclusivamente di enti governativi e aziendali cui Vupen fornisce assistenza per le relative infrastrutture informatiche. Sebbene in tali ambienti Internet Explorer 9 non sia ampiamente diffuso, la falla in questione è presente anche in tutte le edizioni del browser fino alla 6.

Il consiglio della società è quello di disabilitare momentaneamente JavaScript, essendo il problema principalmente nella libreria di sistema mshtml.dll, che si occupa di gestire file HTML contenenti codice JS. Una soluzione alternativa suggerita dallo stesso gruppo è un cambio di browser, così da poter navigare in Rete utilizzando JavaScript ma senza incorrere in tale problema. Per le prossime settimane è attesa una risposta da parte di Microsoft, chiamata a fornire un rimedio entro breve tempo data l’importanza della vulnerabilità.

Il prossimo patch day è però previsto già per i prossimi giorni ed entro domani saranno fornite le prime informazioni relative alle patch in distribuzione: la vulnerabilità scoperta da Vupen non sarà sicuramente coinvolta dall’aggiornamento mensile di aprile.

Fonte: Vupen • Via: InfoWorld • Notizie su:
Commenta e partecipa alle discussioni
  • 07/04/2011 alle 10:00 #151559

    Davide Falanga
    Participant

    Una falla critica è stata rintracciata in IE9 su Windows 7, anche con SP1 installato. Il problema nasce da una libreria per la gestione di HTML e JS.

    Leggi la notizia: IE9, una falla mette a rischio Windows 7

    07/04/2011 alle 11:06 #220547

    Non più registrato
    Participant

    certo che oggigiorno proporre la disattivazione di javascript significa non poter usare un browser… tanto valeva che dicessero solamente di passare (anche solo momentaneamente) ad un altro browser.

    07/04/2011 alle 11:35 #220548

    Leo__
    Membro

    e vai… si comincia con la danza!!! In quanti effettueranno l’aggiornamento o disabiliteranno js? poveri pc!

    07/04/2011 alle 17:39 #220549

    Andrea
    Participant

    disabilitare js ?
    perché non consigliano di staccare il cavo di rete dal pc … cosi siamo mooolto più sicuri.

    07/04/2011 alle 20:40 #220550

    Abc
    Participant

    forse sarebbe meglio passare ad un altro os…

  • Ci sono altri 3 commenti. Leggili nelle Discussioni di Webnews.