Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

Internet Explorer  microsoft  remote code execution   lunedì, 20 gennaio 2020

Nella giornata del 17 gennaio 2020 Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day (CVE-2020-0674) in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.

La vulnerabilità è legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting. Un attaccante potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare una pagina Web compromessa contenente codice malevolo appositamente predisposto. Se sfruttata con successo, la vulnerabilità può consentire all’attaccante di eseguire codice da remoto con i privilegi dell’utente corrente. Se la vittima è un utente con i privilegi di amministratore, l’attaccante sarà in grado di ottenere il controllo completo del sistema.

Questa vulnerabilità è presente nelle seguenti versioni di Internet Explorer:

  • Internet Explorer 11 su Windows 10, Windows 8.1 (32-bit e x64), Windows RT 8.1, Windows 7 (32-bit e x64) Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2, Windows Server 2008 SP2 (32-bit e x64), Windows Server 2008 R2 SP1 (x64)
  • Internet Explorer 10 su Windows Server 2012
  • Internet Explorer 9 su Windows Server 2008 SP2 (32-bit e x64)

Al momento non è ancora disponibile un aggiornamento di Internet Explorer che risolve questa criticità, anche se Microsoft è già al lavoro su un fix che dovrebbe essere reso disponibile col prossimo Patch Tuesday di febbraio. Sono disponibili soluzioni di mitigazione temporanee da adottare in attesa del rilascio delle patch di sicurezza ufficiali.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione, è possibile consultare i seguenti bollettini di sicurezza (in Inglese):

Notizie correlate

Scoperta nuova vulnerabilità critica in OpenSMTPD

26 febbraio 2020

È stata scoperta una vulnerabilità considerata critica in OpenSMTPD che può consentire ad un attaccante remoto di eseguire comandi arbitrari come root.Leggi tutto

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe After Effects e Adobe Media Encoder

20 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza critici per After Effects e Media Encoder. Questi aggiornamenti risolvono due vulnerabilità che possono causare l’esecuzione di codice arbitrario.Leggi tutto