Microsoft rilascia una patch di emergenza per una vulnerabilità zero-day di Internet Explorer

I dettagli sulla falla di sicurezza al momento non sono disponibili, ma Microsoft ha confermato che era possibile utilizzarla per attacchi mirati.

Microsoft ha rilasciato un aggiornamento critico di sicurezza che installa una patch per risolvere la vulnerabilità zero-day nel suo browser Internet Explorer (IE) che i criminali informatici avrebbero potuto sfruttare per violare i computer Windows.

Il problema di sicurezza – classificato come vulnerabilità legata all’esecuzione di codice in modalità remota e tracciato come CVE-2018-8653 – coinvolge il motore di scripting di IE, in particolare nel modo in cui il motore gestisce gli oggetti in memoria. Se sfruttata correttamente la vulnerabilità può consentire a un utente malintenzionato di ottenere gli stessi privilegi dell’utente legittimo.

“Se l’utente corrente è connesso con diritti di amministratore, un utente malintenzionato in grado di sfruttare la vulnerabilità può assumere il controllo di un sistema. Un criminale potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con tutti i diritti dell’utente “, come si legge sul comunicato di Microsoft.

I criminali informatici potrebbero sfruttare la vulnerabilità legata alla corruzione della memoria e infiltrarsi nelle macchine Windows, ad esempio, facendo sì che gli utenti di IE visitino un sito Web pericoloso.

L’aggiornamento out-of-band per risolvere la vulnerabilità nelle versioni 9, 10 e 11 di Internet Explorer è stato rilasciato per i sistemi desktop Windows 7, 8.1 e 10 e per quelli server Windows Server 2008, 2012, 2016 e 2019. Si consiglia vivamente agli utenti di applicare gli ultimi aggiornamenti il ​​più presto possibile.

“I clienti che hanno abilitato Windows Update e hanno applicato gli ultimi aggiornamenti di sicurezza, sono protetti automaticamente. Invitiamo tutti gli utenti ad attivare gli aggiornamenti automatici “, ha scritto Microsoft, che ha riconosciuto al Threat Analysis Group di Google il merito di aver segnalato la vulnerabilità.

La documentazione di supporto Microsoft fornisce anche indicazioni per gli utenti e / o amministratori di Windows che desiderano risolvere il problema tramite soluzioni alternative, nel caso in cui non siano in grado di applicare immediatamente la correzione.