Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Microsoft rilascia aggiornamento per falla critica 0-day in Internet Explorer

Nella giornata del 23 settembre 2019 Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità critica zero-day (CVE-2019-1367) in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.

La vulnerabilità è legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting. Un attaccante potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare una pagina Web compromessa contenente codice malevolo appositamente predisposto. Se sfruttata con successo, la vulnerabilità può consentire all’attaccante di eseguire codice da remoto con i privilegi dell’utente corrente. Se la vittima è un utente con i privilegi di amministratore, l’attaccante sarà in grado di ottenere il controllo completo del sistema.

Questa vulnerabilità è presente nelle seguenti versioni di Internet Explorer:

  • Internet Explorer 11 su Windows 10, Windows 8.1, Windows 7 SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 (R2), Windows Server 2008 R2
  • Internet Explorer 10 su Windows Server 2012
  • Internet Explorer 9 su Windows Server 2008

Microsoft ha altresì pubblicato un aggiornamento per risolvere una vulnerabilità di gravità elevata (CVE-2019-1255) in Microsoft Defender che potrebbe causare condizioni di denial of service sui sistemi affetti.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguenti bollettini di sicurezza di Microsoft (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza critici per Magento

14 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (ottobre 2019)

11 ottobre 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Gravi vulnerabilità in vBulletin 5.5.x

10 ottobre 2019

Sono state scoperte tre diverse vulnerabilità in vBulletin, la più grave delle quali potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario sui server affetti.Leggi tutto