Alfonso Maruccia

Internet Explorer, falla di fine anno

Microsoft avverte dell'esistenza di una vulnerabilitÓ nelle versioni meno recenti del suo browser web, una falla presumibilmente usata per attacchi mirati e per cui non al momento non esiste patch risolutiva

Roma - Microsoft comunica che le versioni 6, 7 e 8 di Internet Explorer sono affette da una vulnerabilità correntemente usata da ignoti cyber-criminali per infettare i PC basati su Windows. La falla, precedentemente ignota, non riguarderebbe le versioni più recenti di IE (la 9 e la 10).

La nuova vulnerabilità zero-day è stata apparentemente usata in un attacco mirato, un attacco partito dal sito del Council on Foreign Relations (CFR) compromesso con codice JavaScript malevolo: nei casi in cui il browser fosse impostato con un particolare parametro linguistico (inglese US, cinese, giapponese, coreano o russo), il codice JS è programmato per sfruttare un exploit di tipo heap spraying ed eseguire codice da remoto sulla macchina infetta.

Attualmente sconosciuti gli autori dell'attacco, con gli esperti inclini ad addossare la colpa a ignoti cracker cinesi. L'uso specifico di un sito come quello del CFR, poi, non lascia molti dubbi sulla natura dell'operazione e la volontà dei cracker di prendere di mira organizzazioni o persino individui ben precisi.
In attesa di una patch correttiva che chiuda il nuovo buco in IE, infine, Microsoft suggerisce fattori attenuanti e raccomanda le potenziali contromisure per ridurre al minimo i rischi di infezione: imperativo l'uso di IE 9 o 10 (non disponibili per Windows XP), del pacchetto EMET, e consigliata la disabilitazione di Flash e Java sul browser.

Alfonso Maruccia
Notizie collegate
15 Commenti alla Notizia Internet Explorer, falla di fine anno
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)