Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Microsoft rilascia aggiornamento per falla critica 0-day in Internet Explorer

Nella giornata del 23 settembre 2019 Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità critica zero-day (CVE-2019-1367) in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.

La vulnerabilità è legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting. Un attaccante potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare una pagina Web compromessa contenente codice malevolo appositamente predisposto. Se sfruttata con successo, la vulnerabilità può consentire all’attaccante di eseguire codice da remoto con i privilegi dell’utente corrente. Se la vittima è un utente con i privilegi di amministratore, l’attaccante sarà in grado di ottenere il controllo completo del sistema.

Questa vulnerabilità è presente nelle seguenti versioni di Internet Explorer:

  • Internet Explorer 11 su Windows 10, Windows 8.1, Windows 7 SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 (R2), Windows Server 2008 R2
  • Internet Explorer 10 su Windows Server 2012
  • Internet Explorer 9 su Windows Server 2008

Microsoft ha altresì pubblicato un aggiornamento per risolvere una vulnerabilità di gravità elevata (CVE-2019-1255) in Microsoft Defender che potrebbe causare condizioni di denial of service sui sistemi affetti.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguenti bollettini di sicurezza di Microsoft (in Inglese):

Notizie correlate

Vulnerabilità multiple in Samba

12 dicembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono due diverse vulnerabilità in Samba, la più grave delle quali può causare condizioni di denial of service.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2019)

11 dicembre 2019

Nella giornata del 10 dicembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto