Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Importante vulnerabilità in Microsoft Edge

edge  microsoft   venerdì, 3 agosto 2018

Sono stati recentemente divulgati i dettagli tecnici di una vulnerabilità di gravità elevata (CVE-2018-0871) in Microsoft Edge, presente all’interno dei moderni sistemi operativi Microsoft Windows 10.

Come segnalato al CERT Nazionale dalla società Yoroi, la problematica è originata da lacune nell’applicazione delle politiche di sicurezza SOP (Same Origin Policy) all’interno del motore del browser Web Edge, in particolare durante la gestione degli accessi alle risorse locali. Ricercatori di sicurezza hanno infatti dimostrato la possibilità di accedere a file arbitrari presenti nel file system della macchina bersaglio a fronte del caricamento di appositi documenti o pagine HTML nel browser di sistema.

Benché lo sfruttamento della criticità richieda una interazione con l’utente vittima, la sua pericolosità rimane elevata in quanto può essere sfruttata anche durante campagne di attacco basate su Email fraudolente, ad esempio attraverso allegati “.html” o archivi compressi con file “.html” al loro interno.

La vulnerabilità è già stata confermata da Microsoft, che ha rilasciato patch di sicurezza per i sistemi Windows 10 affetti nell’ambito degli aggiornamenti cumulativi di giugno 2018.

Ciò nonostante, la recente divulgazione dei dettagli tecnici utili a replicare la problematica ed il possibile sfruttamento della vulnerabilità attraverso più vettori, tra i quali anche la corrispondenza Email, fanno sì che questa vulnerabilità rappresenti un rischio piuttosto elevato.

Per questa ragione, sebbene ad oggi non si abbiano notizie dello sfruttamento di questa vulnerabilità in attacchi reali, si suggerisce di applicare al più presto gli aggiornamenti necessari.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2018)

10 ottobre 2018

Nella giornata del 9 ottobre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer, Edge, Office, SharePoint e Exchange.Leggi tutto

Vulnerabilità 0-day in Microsoft JET Database Engine

21 settembre 2018

I ricercatori di ZDI hanno divulgato i dettagli di una vulnerabilità zero-day in Microsoft JET Database Engine che può causare l’esecuzione di codice arbitrario.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (settembre 2018)

12 settembre 2018

Nella giornata dell'11 settembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer, Edge, Office e SharePoint.Leggi tutto