Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Microsoft rilascia aggiornamento per falla critica 0-day in Internet Explorer

Nella giornata del 23 settembre 2019 Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità critica zero-day (CVE-2019-1367) in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.

La vulnerabilità è legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting. Un attaccante potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare una pagina Web compromessa contenente codice malevolo appositamente predisposto. Se sfruttata con successo, la vulnerabilità può consentire all’attaccante di eseguire codice da remoto con i privilegi dell’utente corrente. Se la vittima è un utente con i privilegi di amministratore, l’attaccante sarà in grado di ottenere il controllo completo del sistema.

Questa vulnerabilità è presente nelle seguenti versioni di Internet Explorer:

  • Internet Explorer 11 su Windows 10, Windows 8.1, Windows 7 SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 (R2), Windows Server 2008 R2
  • Internet Explorer 10 su Windows Server 2012
  • Internet Explorer 9 su Windows Server 2008

Microsoft ha altresì pubblicato un aggiornamento per risolvere una vulnerabilità di gravità elevata (CVE-2019-1255) in Microsoft Defender che potrebbe causare condizioni di denial of service sui sistemi affetti.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguenti bollettini di sicurezza di Microsoft (in Inglese):

Notizie correlate

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in Microsoft Office per Mac consente esecuzione di codice da remoto

5 novembre 2019

È stata scoperta una vulnerabilità in Microsoft Office per Mac 2011 che potrebbe consentire l'esecuzione di codice arbitrario da remoto mediante file SYLK.Leggi tutto

Vulnerabilità multiple in Samba

30 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre diverse vulnerabilità in Samba, la più grave delle quali può causare condizioni di denial of service.Leggi tutto