Microsoft è al lavoro per risolvere una grave falle nel suo browser Internet Explorer che ha permesso ai criminali informatici di impersonare siti Web noti per rubare i dati degli utenti. Microsoft ha avvertito che la vulnerabilità è stata già utilizzata in "attacchi limitati e mirati" contro persone e reti che utilizzano le versioni di Internet Explorer da 6 a 11, che costituiscono più di un quarto di tutti i browser Web, secondo la società di ricerca Netmarketshare.
L'azienda non ha ancora rilasciato un update per proteggere gli utenti dagli hacker che stanno approfittando di questo bug, ma ha detto che prenderà le "misure appropriate" quando avrà completato la sua indagine. Nel Security Advisory n.2963983 Microsoft spiega di essere a conoscenza di attacchi limitati e mirati che tentano di sfruttare una vulnerabilità in IE 6, IE 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, e Internet Explorer 11.
La vulnerabilità zero-day CVE-2014-1776 è legata all'esecuzione di codice in modalità remota. La falla è dovuta al modo in cui Internet Explorer accede a un oggetto in memoria che è stato eliminato o non è stato correttamente assegnato. La vulnerabilità potrebbe danneggiare la memoria in un modo che potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente all'interno di Internet Explorer.
Un utente malintenzionato potrebbe pubblicare un sito Web appositamente predisposto per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. Al termine di questa indagine, Microsoft prenderà i provvedimenti del caso per proteggere i clienti. La patch potrebbe essere inclusa nel suo processo di rilascio di aggiornamento mensile, o attraverso un update di sicurezza out-of-cycle.
I computer che eseguono Windows XP non riceveranno alcun update perché Microsoft ha concluso l'8 aprile l'assistenza tecnica del sistema operativo lanciato tredici anni fa. Come riporta la BBC, sono circa il 30% di tutti gli utenti desktop che eseguono il vecchio O.S. e gli analisti hanno già avvertito che gli utenti sono vulnerabili agli attacchi dei cyber-criminali. I test di Symantec hanno confermato la vulnerabilità di Internet Explorer in Windows XP.
Microsoft ha rilasciato suggerimenti sul suo sito web su come i reparti IT possano mitigare la vulnerabilità mentre lavora su un modo per risolvere il problema. Enhanced Mitigation Experience Toolkit (EMET) consente di ridurre lo sfruttamento di questa vulnerabilità con l'aggiunta di strati di protezione aggiuntive che rendono la vulnerabilità più difficile da sfruttare. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2458544.
Oltre a utilizzare EMET, il Symantec Security Response incoraggia gli utenti a passare temporaneamente a un browser Web diverso fino a quando una patch non verrà rilasciata. Symantec protegge contro l'attacco Bloodhound.Exploit.552. La rivelazione del bug segue la scoperta di una delle vulnerabilità più importanti mai trovate nei software. Heartbleed bug è stato usato per rubare le password degli utenti e dati confidenziali, come i numeri di previdenza sociale canadesi.
Microsoft ha rilasciato suggerimenti sul suo sito web su come i reparti IT possano mitigare la vulnerabilità mentre lavora su un modo per risolvere il problema. Enhanced Mitigation Experience Toolkit (EMET) consente di ridurre lo sfruttamento di questa vulnerabilità con l'aggiunta di strati di protezione aggiuntive che rendono la vulnerabilità più difficile da sfruttare. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2458544.
Oltre a utilizzare EMET, il Symantec Security Response incoraggia gli utenti a passare temporaneamente a un browser Web diverso fino a quando una patch non verrà rilasciata. Symantec protegge contro l'attacco Bloodhound.Exploit.552. La rivelazione del bug segue la scoperta di una delle vulnerabilità più importanti mai trovate nei software. Heartbleed bug è stato usato per rubare le password degli utenti e dati confidenziali, come i numeri di previdenza sociale canadesi.
Nessun commento:
Posta un commento