Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Importante vulnerabilità in Microsoft Edge

edge  microsoft   venerdì, 3 agosto 2018

Sono stati recentemente divulgati i dettagli tecnici di una vulnerabilità di gravità elevata (CVE-2018-0871) in Microsoft Edge, presente all’interno dei moderni sistemi operativi Microsoft Windows 10.

Come segnalato al CERT Nazionale dalla società Yoroi, la problematica è originata da lacune nell’applicazione delle politiche di sicurezza SOP (Same Origin Policy) all’interno del motore del browser Web Edge, in particolare durante la gestione degli accessi alle risorse locali. Ricercatori di sicurezza hanno infatti dimostrato la possibilità di accedere a file arbitrari presenti nel file system della macchina bersaglio a fronte del caricamento di appositi documenti o pagine HTML nel browser di sistema.

Benché lo sfruttamento della criticità richieda una interazione con l’utente vittima, la sua pericolosità rimane elevata in quanto può essere sfruttata anche durante campagne di attacco basate su Email fraudolente, ad esempio attraverso allegati “.html” o archivi compressi con file “.html” al loro interno.

La vulnerabilità è già stata confermata da Microsoft, che ha rilasciato patch di sicurezza per i sistemi Windows 10 affetti nell’ambito degli aggiornamenti cumulativi di giugno 2018.

Ciò nonostante, la recente divulgazione dei dettagli tecnici utili a replicare la problematica ed il possibile sfruttamento della vulnerabilità attraverso più vettori, tra i quali anche la corrispondenza Email, fanno sì che questa vulnerabilità rappresenti un rischio piuttosto elevato.

Per questa ragione, sebbene ad oggi non si abbiano notizie dello sfruttamento di questa vulnerabilità in attacchi reali, si suggerisce di applicare al più presto gli aggiornamenti necessari.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2019)

9 gennaio 2019

Nella giornata dell'8 gennaio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows e Edge.Leggi tutto

Microsoft rilascia aggiornamento per grave falla 0-day in Internet Explorer

20 dicembre 2018

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2018)

12 dicembre 2018

Nella giornata dell'11 dicembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows, .NET Framework, Edge e Internet Explorer.Leggi tutto