Sarebbe preferibile implementare una soluzione alternativa o smettere del tutto di utilizzare il browser, almeno fino a quando Microsoft non rilascerà una soluzione.
Microsoft ha rilasciato un avviso di sicurezza che segnala agli utenti una vulnerabilità non ancora corretta nel proprio browser Internet Explorer (IE) che viene sfruttata in attacchi mirati, al momento limitati.
Lo zero-day, che è stato classificato come CVE-2020-0674, interessa un problema di corruzione della memoria nel motore di scripting del browser. Il suo sfruttamento potrebbe consentire a dei criminali remoti di eseguire del codice di loro scelta sul sistema compromesso.
La falla di sicurezza relativa all’esecuzione di codice remoto (RCE) riguarda le versioni IE 9 e 10 presenti su tutte le versioni desktop e server Windows attualmente comprese nel programma di supporto Microsoft, nonché su Windows 7 ormai non più supportato. La vulnerabilità può essere sfruttata dai criminali spingendo gli utenti a visitare un sito Web dannoso tramite il browser, in genere inviando un’e-mail. In definitiva, potrebbe consentire a questi criminali di installare programmi, manomettere i dati o creare nuovi account con diritti utente completi sul sistema interessato.
Déjà vu con una svolta
Se la maggior parte di tutto ciò suona familiare, è per una buona ragione. Recentemente, rispettivamente a settembre e novembre 2019, la società ha rivelato altri due zero-day che interessavano lo stesso browser.
C’è però una differenza importante, questa volta non è stata ancora resa disponibile alcuna patch. Purtroppo sembra che la correzione non sarà implementata fino al prossimo Patch Tuesday dell’ 11 febbraio.
“Microsoft è a conoscenza di questa vulnerabilità e sta lavorando a una soluzione. La nostra politica standard prevede il rilascio di aggiornamenti di sicurezza il Patch Tuesday, il secondo martedì di ogni mese “, ha affermato il colosso della tecnologia.
Oltre a ciò, si pensa che la vulnerabilità possa essere correlata a un altro difetto zero-day recentemente rivelato questa volta nel browser Firefox. Mozilla ha rilasciato una patch per quest’ultima vulnerabilità all’inizio di questo mese.
Cosa fare?
Si possono ridurre i rischi legati a questo bug appena svelato limitando l’accesso al componente JavaScript JScript.dll. Inoltre, Microsoft ha osservato che il rischio di sfruttamento è minore su Windows Server, dove Internet Explorer è bloccato per impostazione predefinita così da proteggere dagli attacchi basati su browser. Questa modalità limitata, denominata Enhanced Security Configuration, “può ridurre la probabilità che un utente o un amministratore scarichi ed esegua contenuti Web appositamente predisposti su un server”, ha affermato Microsoft.
Nel frattempo, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato il proprio rapporto di consulenza, incoraggiando gli utenti e gli amministratori a implementare soluzioni alternative e passare ad altri browser fino a quando non sarà disponibile una patch.
Il capo della sicurezza informatica di Microsoft Chris Jackson nel 2019 ha dichiarato che Internet Explorer è una “soluzione di compatibilità”. In altre parole, spesso funziona per le aziende che fanno affidamento su di essa per motivi di compatibilità con le app Web legacy. Il browser potrebbe non essere la soluzione migliore per le esigenze quotidiane di navigazione web.
Pochi giorni fa, Microsoft ha lanciato il suo nuovo browser Edge basato su Chromium.
Lascia un commento