QR code per la pagina originale

Internet Explorer, patch per una falla zero-day

Microsoft ha distribuito una patch che risolve una grave vulnerabilità individuata in tutte le versioni di Internet Explorer, anche su Windows 10.

,

Microsoft ha rilasciato una patch per una vulnerabilità critica scoperta in Internet Explorer da Clement Lecigne, un ricercatore di sicurezza che lavora per Google. Al momento non si segnalano exploit in circolazione, ma la falla zero-day potrebbe essere sfruttata per eseguire codice remoto. Per la seconda volta in due mesi, l’azienda di Redmond è stata costretta a distribuire un aggiornamento fuori dal classico ciclo mensile.

La vulnerabilità è presente in tutte le versione del browser supportate, quindi anche in Internet Explorer 11 su Windows 10. La patch per il nuovo sistema operativo è cumulativa, ovvero include tutti i precedenti aggiornamenti. Il bug è piuttosto grave, in quanto il browser accede impropriamente agli oggetti in memoria e potrebbe consentire l’esecuzione di codice arbitrario. Un eventuale attacco può essere attuato attraverso un sito web compromesso e siti che ospitano contenuti forniti dall’utente o inserzioni pubblicitarie che nascondono malware.

Il malintenzionato dovrebbe però convincere l’utente a visitare il sito. Ciò può avvenire mediante un link inserito in un messaggio o un email, oppure in seguito all’apertura di un messaggio di posta elettronica. Dato che la vulnerabilità permette di accedere a Windows con gli stessi diritti dell’utente, Microsoft consiglia di non usare privilegi di amministratori. In questo caso, infatti, sarebbe possibile prendere il completo controllo del sistema ed eseguire qualsiasi azione, come installare applicazioni infette e rubare dati personali.

Il nuovo browser Microsoft Edge è immune dal problema in questione. In ogni caso, su Windows 10 le patch vengono installate senza l’intervento dell’utente, quindi la sicurezza è maggiore.