Alfonso Maruccia

Bug MHTML, exploit in circolazione

Microsoft avverte dell'esistenza di codice malevolo in grado di sfruttare un baco recentemente scoperto in IE. In attesa di una patch ufficiale c'Ŕ il "Fix it" apposito

Roma - Il baco, individuato alla fine di gennaio, consiste in una vulnerabilità nella gestione dei documenti in formato MHTML da parte di Windows. Un malintenzionato potrebbe mettere in piedi un sito web appositamente predisposto, spingere l'utente a visitare la pagina e costringere il browser a scaricare ed eseguire codice JavaScript in locale.

Il browser interessato dalla vulnerabilità è Internet Explorer - indipendentemente dalla versione - per via della capacità di gestire i file MHTML in maniera nativa. Gli ultimi report di Microsoft confermano che il bug è ora attivamente sfruttato da exploit presenti in rete, e Google sostiene che gli attacchi sono in particolare mirati contro suoi utenti e gli attivisti.

Per un'eventuale quanto probabile patch ufficiale in grado di chiudere la vulnerabilità occorrerà attendere almeno un mese, quando Microsoft rilascerà il prossimo ciclo di "pezze" per i suoi sistemi operativi Windows.
Nell'attesa è possibile applicare il "Fix it" specifico già distribuito da Redmond alla fine di gennaio, o in alternativa si può sempre passare alla navigazione web via browser alternativi a IE: Firefox, Opera e gli altri sono per loro natura impermeabili al baco per via dell'incapacità di gestire in maniera nativa il formato MHTML.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMicrosoft e Google, il bug della discordiaQuel che sembra certo Ŕ che Internet Explorer sia vittima di un altro caso di vulnerabilitÓ zero-day. Resta da capire chi lo abbia scoperto, e se i dettagli siano finiti in mani (cinesi) sbagliate
  • SicurezzaMartedì di patch, aggiornamento mignonMicrosoft prepara il prossimo pacchetto di aggiornamenti di sicurezza mensili annunciando due soli bollettini da scaricare. Resta attivo il monitoraggio su due vulnerabilitÓ per cui Ŕ giÓ disponibile un exploit
  • SicurezzaWindows, allerta MHTMLIl gestore di protocollo tradisce il sistema operativo Microsoft passando dal browser. In attesa di un vero aggiornamento riparatore, si consiglia di staccare la spina al supporto MHTML
  • TecnologiaPatch Tuesday, la cura di febbraioMicrosoft si prepara a correggere 22 vulnerabilitÓ, che comprendono 3 problemi di livello critico. Ancora niente per il protocollo MHTML di Windows
19 Commenti alla Notizia Bug MHTML, exploit in circolazione
Ordina