Casa Securitywatch Microsoft corregge bug zero-day con aggiornamento di emergenza

Microsoft corregge bug zero-day con aggiornamento di emergenza

Video: URGENT Google Chrome update fixes 5 Security flaws a huge Zero Day bug October 21st 2020 (Novembre 2024)

Video: URGENT Google Chrome update fixes 5 Security flaws a huge Zero Day bug October 21st 2020 (Novembre 2024)
Anonim

Microsoft ha implementato un aggiornamento per Internet Explorer per chiudere la vulnerabilità zero-day che era già stata utilizzata di recente in numerosi attacchi mirati.

L'aggiornamento fuori banda di Microsoft risolve il problema critico nelle versioni 6, 7 e 8 di Internet Explorer, ha affermato la società nel suo avviso di sicurezza oggi. La società aveva precedentemente rilasciato un Fix-It come soluzione alternativa per chiudere temporaneamente il problema. Gli utenti che hanno installato Fix-It non devono disinstallarlo prima di applicare la patch, ha affermato Microsoft.

"La maggior parte dei clienti ha gli aggiornamenti automatici abilitati e non dovrà intraprendere alcuna azione poiché le protezioni verranno scaricate e installate automaticamente", ha affermato Microsoft nell'advisory. Gli utenti che aggiornano IE manualmente sono caldamente invitati ad applicare l'aggiornamento il più rapidamente possibile.

È importante notare che Microsoft ha rilasciato una patch e non un aggiornamento cumulativo, ha affermato Wolfgang Kandek, CTO di Qualys. Gli utenti devono prima assicurarsi che la loro versione di Internet Explorer sia aggiornata (e abbia MS12-077) installato prima di applicare la patch (MS13-008), ha affermato Kandek.

Patch fuori banda

Questa patch arriva una settimana dopo l'uscita mensile programmata di martedì delle patch di Microsoft. Molti esperti di sicurezza si erano chiesti se ciò significasse che la società stava pianificando di aspettare fino a febbraio per correggere il bug.

"Non sarei affatto sorpreso di vedere un altro bollettino IE a febbraio oltre alla patch di oggi", ha dichiarato Andrew Storms, direttore delle operazioni di sicurezza di nCircle. Le patch regolari del browser sono una buona cosa perché gli aggressori attaccano sempre più i browser Web, ha detto Storms.

I ricercatori di FireEye hanno scoperto a dicembre che il sito web del Council on Foreign Relations era stato compromesso e stava infettando i visitatori utilizzando versioni precedenti di Internet Explorer sfruttando questa vulnerabilità. Una volta identificato il difetto del giorno zero, altri ricercatori hanno scoperto attacchi simili su altri siti, tra cui Capstone Turbine, produttore di sistemi di microturbina e due siti cinesi per i diritti umani. Microsoft ha rilasciato una correzione temporanea, ma i ricercatori di Exodus Intelligence sono stati in grado di aggirare il Fix-It e innescare la falla nella sicurezza.

Mentre la società ha lavorato abbastanza rapidamente per rilasciare questa patch, esiste ancora una "elevata probabilità" che molti utenti non abbiano preso le misure necessarie e una grande parte degli utenti di IE rimarrà non protetta, Mark Elliott, vice presidente esecutivo dei prodotti presso Quarri Technologies, ha dichiarato a SecurityWatch . Ciò sottolinea il fatto che le aziende sono spesso "in balia di quanto gli utenti finali qualificati siano un amministratore della sicurezza", ha affermato Elliott.

Gli utenti sono inoltre invitati a eseguire l'aggiornamento a Internet Explorer 9 o 10. Il problema riguarda principalmente gli utenti che eseguono ancora Windows XP, che non può eseguire le versioni più recenti di IE.

"Poiché queste patch risolvono le vulnerabilità sfruttate in natura, è fondamentale che le patch vengano implementate il più presto possibile", ha dichiarato a SecurityWatch Marc Maiffret, CTO di BeyondTrust.

Per ulteriori informazioni su Fahmida, seguila su Twitter @zdFYRashid.

Microsoft corregge bug zero-day con aggiornamento di emergenza