Ricerca

martedì 24 maggio


Brutta falla di sicurezza in Internet Explorer: le soluzioni

di Michele Nasi (28/04/2014)

I tecnici di FireEye, nota azienda che si occupa di sicurezza informatica, ha lanciato l'allarme dopo la scoperta di una nuova pericolosa falla che interessa tutte le versioni di Internet Explorer, dalla 6.0 alla più recente 11.
La lacuna di sicurezza sarebbe già sfruttata per condurre attacchi mirati, sferrati - almeno per il momento - esclusivamente nei confronti degli utenti di Internet Explorer 9, 10 e 11.

Esaminando i dettagli dell'analisi pubblicata da FireEye, appare evidente come la vulnerabilità individuata in Internet Explorer possa portare all'esecuzione di codice dannoso sul sistema dell'utente, con gli stessi diritti dell'account in uso.
Stando a quanto spiegato dagli autori della scoperta, sarebbe sufficiente indurre l'utente a visitare una pagina web malevola, appositamente preparata, per provocare il caricamento del codice nocivo.

La falla zero day appena venuta a galla, comunque, è strettamente correlata con il caricamento di un file Flash (formato SWF) che contiene le chiamate JavaScript necessarie per far leva sulla falla di sicurezza nelle versioni vulnerabili di Internet Explorer e per "dribblare" i meccanismi di sicurezza implementati in Windows quali ASLR e DEP.

Microsoft ha immediatamente confermato la presenza del problema nelle varie versioni di Internet Explorer affrettandosi a precisare che i tecnici della società sono già al lavoro per mettere una pezza sul buco di sicurezza. Il rilascio dell'aggiornamento risolutivo potrebbe avvenire già il prossimo 13 maggio, in occasione del prossimo "patch day".

Come soluzioni temporanee, il colosso di Redmond suggerisce l'utilizzo del software EMET 4.1 (vedere Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit).

In alternativa, è possibile bloccare ActiveX ed Active scripting dalle opzioni del browser cliccando sulla scheda Sicurezza, sull'icona Internet quindi sul pulsante Livello personalizzato.

Ancora, è possibile valutare la disattivazione del plugin relativo ad Adobe Flash od, infine, deregistrare (%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll) il file VGX.DLL così da prevenire i rischi d'attacco.

La falla di sicurezza appena messa a nudo viene considerata estremamente critica in forza soprattutto della popolarità di cui gode ancor'oggi Internet Explorer fra gli utenti. Secondo i dati aggiornati di NetApplications, Internet Explorer è utilizzato dal 57,96% degli utenti, seguito da Chrome con il 17,52%, da Firefox con il 17,26% e da Safari con il 5,68%. Chiude la classifica Opera con l'1,2%.

FireEye, inoltre, evidenzia che gli attacchi mirati scoperti in questi giorni prendono di mira versioni di Internet Explorer (9, 10 e 11) che complessivamente sarebbero utilizzate dal 26,25% del mercato (dal 31,59% secondo NetApplications).

Inoltre, analizzando il bollettino pubblicato online da Microsoft, non viene più citato Windows XP SP3. Il sistema operativo, ancora utilizzato dal 27,69% degli utenti (marzo 2014, fonte: NetApplications) e non più supportato dallo scorso 8 aprile (Windows XP dopo aprile 2014: come mettere in sicurezza il sistema operativo; Aggiornare Windows XP a Windows 7, Windows 8.1 o Linux), non vedrà quindi il rilascio di alcuna patch risolutiva: nessuna versione di Internet Explorer per Windows XP sarà quindi più oggetto di aggiornamenti (nemmeno la più recente 8.0).
Com'è possibile verificare nel bollettino Microsoft, il sistema operativo operativo più vecchio che rimane ancora supportato è Windows Server 2003 SP2.

Articolo seguente: Google, 104 borse di studio per promuovere il Made in Italy
Articolo precedente: Facebook utilizzato per sferrare attacchi DDoS?
7347 letture
Ultimi commenti
inviato da Michele Nasi > pubblicato il 01/05/2014 21:34:20
È in home :wink: http://www.ilsoftware.it/articoli.asp?t ... s-XP_10925
inviato da Michele Nasi > pubblicato il 01/05/2014 21:05:52
A breve la pubblicazione di una news :approvato:
inviato da Sampei Nihira > pubblicato il 01/05/2014 21:02:11
Contro ogni previsione è stato rilasciato il fix anche per XP. :eek:
inviato da Sampei Nihira > pubblicato il 29/04/2014 17:25:00
http://www.cnet.com/news/stop-using-ie- ... d-says-us/
inviato da Sampei Nihira > pubblicato il 28/04/2014 10:35:58
Meglio quindi,per gli utenti di XP,abbandonare il browser I.E.8 come più volte raccomandato. E nel caso siano costretti ad usare I.E.8 quelle rare volte in cui non se può fare a meno prendere ogni precauzione preventiva del caso. p.s . Sollecitato da un collega a mettere in evidenza un proseguo al mio intervento. Pensavo fosse implicito con la prima riga del mio consiglio ma ugualmente lo metto all'attenzione: https://technet.microsoft.com/en-US/lib ... ty/2963983 si noti che Microsoft mette in evidenza come al solito che la via e-mail non può essere esclusa. Quindi anche in questo caso occhio ad eventuali link. E meglio avere un browser predefinito non-I.E. Tanto potete se volete usare I.E. ugualmente. :approvato:


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2016

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS