Microsoft sta indagando su una nuova vulnerabilità presente in tutte le versioni di Internet Explorer (6, 7 e 8) che consente l'esecuzione di codice da remoto. La falla è stata originariamente segnalata come una condizione di negazione del servizio sulla mailing list Full Disclosure l'8 dicembre. Tuttavia, la società di sicurezza come la Secunia e di vulnerabilità VUPEN hanno avvertito che potrebbe anche essere sfruttata per prendere il controllo del sistema. «Questa vulnerabilità è causata da un errore di Use-after-free all'interno della libreria "mshtml.dll" quando l'elaborazione di una pagina web fà riferimento ad un file CSS (Cascading Style Sheets), che ospita diverse regole "@ import" maligne», spiega VUPEN.
 |
| http://www.wooyun.org/ |
Ciò potrebbe consentire ad aggressori remoti di eseguire codice arbitrario tramite una pagina web appositamente predisposta. DEP è progettato per impedire l'invio di pacchetti di dati contenenti codice malevolo ideato per crashare le applicazioni che lo ricevono, ma in questo caso risulta inefficace. La società ha confermato questa vulnerabilità in Microsoft Internet Explorer 8 su Windows 7, Windows Vista SP2 e Windows XP SP3, e con Internet Explorer 7 e 6 su Windows XP SP3. L'exploit è stato aggiunto a Metasploit e dal momento che il quadro è open source, chiunque può potenzialmente afferrarlo e usarlo per lanciare attacchi drive-by download.
La vulnerabilità, come dichiara la società di sicurezza Sophos, è stata pubblicata all'inizio del mese in una divulgazione di sicurezza completa. CSS è il modo in cui si specifica l'aspetto del codice HTML che compone le pagine web. Purtroppo, questo nuovo exploit sembra funzionare contro tutte le versioni supportate di Internet Explorer, fino a IE 8 su Windows 7, nonostante i miglioramenti della sicurezza dei prodotti Microsoft. Un gruppo di ricerca sulla sicurezza chiamato Abysssec, ha infatti annunciato che il bug permette di bypassare i due meccanismi di protezione della memoria “più solidi” implementati da Microsoft: Data Execution Prevention (DEP) e Address Space Layout Randomisation (ASLR).
Per adesso, una buona soluzione alternativa è quella di utilizzare Microsoft Enhanced Experience Mitigation Toolkit (EMET). Con questo strumento, è possibile forzare le applicazioni chiamate a svolgere il controllo ASLR su ogni DLL da loro caricata. Al momento Redmond, assieme ai suoi partner, sta ponderando se rilasciare o meno una patch fuori dal classico ciclo di update mensile. Il prossimo "Patch Tuesday", infatti, sarà il prossimo 11 gennaio. Per mitigare spiacevoli eventualità Microsoft consiglia di tenere alto il livello di protezione in IE su Windows Vista e Windows 7, disabilitando anche i controlli ActiveX e Active Scripting.
Nessun commento:
Posta un commento