Microsoft ha rilasciato un “Fix it” che consente di sanare in via temporanea, sintanto che i tecnici della società non rilasceranno patch ufficiale, una pericolosa vulnerabilità scoperta a fine anno nelle versioni più datate di Internet Explorer.
Microsoft ha rilasciato un “Fix it” che consente di sanare in via temporanea, sintanto che i tecnici della società non rilasceranno patch ufficiale, una pericolosa vulnerabilità scoperta a fine anno nelle versioni più datate di Internet Explorer. L’installazione del “Fix it”
viene caldamente consigliata dal momento che la falla di sicurezza
sarebbe già sfruttata per condurre attacchi mirati. Ad essere
interessati dalla problematica sono tutti gli utenti di Windows che
utilizzano Internet Explorer 6.0, Internet Explorer 7.0 oppure Internet Explorer 8.0.
La
lacuna di sicurezza può essere utilizzata per eseguire codice dannoso
superando le principali linee di difesa del sistema operativo. Come
spiegano Cristian Craioveanu e Jonathan Ness, ingegneri di Microsoft,
tutti gli attacchi al momento in circolazione sfruttano codice
Javascript offuscato per far leva sulla vulnerabilità, impiegano codice
Flash ActionScript, utilizzano una libreria di Java 6 oppure una DLL di
Office 2007/2010 per “dribblare” la protezione offerta dalla
funzionalità ASLR e tentano anche di scavalcare la protezione DEP.
La falla può essere sfruttata, da parte di un aggressore, per provocare un attacco “drive-by download“: basta visitare un sito web dannoso con una versione insicura di Internet Explorer per vedere infettato il proprio sistema.
Il “Fix it” appena distribuito dai tecnici di Microsoft è scaricabile facendo riferimento a questa pagina.
Non appena il colosso di Redmond rilascerà una patch definitiva, prima
di procedere alla sua installazione, si dovrà preventivamente
disinstallare il “Fix it“.
