Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

Internet Explorer  microsoft  remote code execution   lunedì, 20 gennaio 2020

Nella giornata del 17 gennaio 2020 Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day (CVE-2020-0674) in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.

La vulnerabilità è legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting. Un attaccante potrebbe sfruttare questa vulnerabilità convincendo un utente a visitare una pagina Web compromessa contenente codice malevolo appositamente predisposto. Se sfruttata con successo, la vulnerabilità può consentire all’attaccante di eseguire codice da remoto con i privilegi dell’utente corrente. Se la vittima è un utente con i privilegi di amministratore, l’attaccante sarà in grado di ottenere il controllo completo del sistema.

Questa vulnerabilità è presente nelle seguenti versioni di Internet Explorer:

  • Internet Explorer 11 su Windows 10, Windows 8.1 (32-bit e x64), Windows RT 8.1, Windows 7 (32-bit e x64) Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2, Windows Server 2008 SP2 (32-bit e x64), Windows Server 2008 R2 SP1 (x64)
  • Internet Explorer 10 su Windows Server 2012
  • Internet Explorer 9 su Windows Server 2008 SP2 (32-bit e x64)

Al momento non è ancora disponibile un aggiornamento di Internet Explorer che risolve questa criticità, anche se Microsoft è già al lavoro su un fix che dovrebbe essere reso disponibile col prossimo Patch Tuesday di febbraio. Sono disponibili soluzioni di mitigazione temporanee da adottare in attesa del rilascio delle patch di sicurezza ufficiali.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione, è possibile consultare i seguenti bollettini di sicurezza (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2020)

12 febbraio 2020

Nella giornata dell'11 febbraio 2020 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in prodotti Cisco (5 febbraio 2020)

6 febbraio 2020

Cisco ha rilasciato il 5 febbraio 2020 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto