Aggiornamento di emergenza per Internet Explorer

Un aggiornamento di emergenza per Internet Explorer è stato rilasciato ieri sera. Tra le altre cose, Microsoft corregge una vulnerabilità che è nota da dicembre e permette ad un attaccante remoto di eseguire codice sulle macchine vulnerabili.

Con il bollettino di sicurezza non programmato MS13-008, Microsoft corregge una vulnerabilità in Internet Explorer (IE), che colpisce le versioni 6, 7 e 8 del browser. Sotto i sistemi operativi client Windows 7, Vista e XP, l'aggiornamento è considerato critico.

La patch è in definitiva un'estensione retroattiva dell'aggiornamento cumulativo di sicurezza IE MS12-077. Gli amministratori in particolare dovrebbero assicurarsi che questa patch sia stata installata in anticipo per evitare problemi di compatibilità.

Nel caso dei sistemi operativi server Windows, c'è solo un rischio moderato, secondo Microsoft. I due più recenti Internet Explorer 9 e 10 sono risparmiati dalla vulnerabilità - tuttavia, un aggiornamento a uno di questi browser Microsoft è possibile solo da Windows Vista in poi.

Con la patch, Microsoft cambia il modo in cui Internet Explorer gestisce gli oggetti memorizzati in memoria. Questo perché possono verificarsi problemi di sicurezza se un oggetto non è allocato correttamente in memoria o viene successivamente cancellato.

Un attaccante potrebbe sfruttare questo creando un sito web che accede agli oggetti corrispondenti o alla loro area di memoria. Dovrebbe poi indurre l'utente a visitare il sito web - per esempio, con l'aiuto di un messaggio spam.

Se l'attacco avesse successo, sarebbe poi in grado di eseguire codice arbitrario sulla macchina. Secondo Microsoft, più alti sono i diritti dell'utente attualmente connesso, maggiore è il pericolo.

Più l'utente è connesso, maggiore è il pericolo.


Lascia un commento