Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Microsoft rilascia aggiornamento per grave falla 0-day in Internet Explorer

Internet Explorer  microsoft  remote code execution   giovedì, 20 dicembre 2018

Nella giornata del 19 dicembre 2018 Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità zero-day di gravità elevata (CVE-2018-8653) in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.

La vulnerabilità è legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting. Un attaccante potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare una pagina Web compromessa contenente codice JScript malevolo appositamente predisposto. Se sfruttata con successo, la vulnerabilità può consentire all’attaccante di eseguire codice da remoto nel contesto dell’utente corrente. Se la vittima è un utente con i privilegi di amministratore, l’attaccante sarà in grado di prendere il pieno controllo del sistema interessato, installare programmi malevoli, modificare o cancellare i dati e creare account con diritti di amministratore.

Questa vulnerabilità è presente nelle seguenti versioni di Internet Explorer:

  • Internet Explorer 11 su Windows 10, Windows 8.1, Windows 8.1 RT, Windows 7, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2
  • Internet Explorer 10 su Windows Server 2012
  • Internet Explorer 9 su Windows Server 2008

Stando a quanto riportato a Microsoft da ricercatori di sicurezza di Google, la falla sarebbe attualmente sfruttata in-the-wild in attacchi mirati.

Gli utenti Microsoft Windows che hanno attivato gli aggiornamenti automatici e applicato le patch di sicurezza più recenti risultano automaticamente protetti.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Risolta vulnerabilità critica in WordPress 5.1.1

14 marzo 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (marzo 2019)

13 marzo 2019

Nella giornata del 12 marzo 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe Digital Editions e Photoshop CC

13 marzo 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Digital Editions e per Adobe Photoshop CC che risolvono due vulnerabilità critiche che potrebbero consentire l'esecuzione di codice arbitrario nel contesto dell'utente corrente.Leggi tutto