martedì 9 marzo 2010

Zeroday su Internet Explorer 6 e 7

Secunia e Vupen hanno pubblicato dei report circa una nuova vulnerabilità di tipo 0day in Internet Explorer 6 e 7.

CVE: CVE-2010-0806 Gravità: Estremamente critica

Descrizione
Una vulnerabilità è stata identificata in MS IE, che può essere sfruttata da attaccanti remoti per compromettere sistemi vulnerabili. Questo problema è causato un errore di tipo "user-after-free" nel modulo "iepeers.dll" quando processa alcuni tipi di dati. Un attaccante può far eseguire codice arbitrario sul sitema di un utente solamente facendogli visitare una pagina web appositamente predisposta.

Software vulnerabile
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
VUPEN ha confermato che la vulnerabilità è sfruttabile anche su sistemi XP SP3 pienamente patchati che utilizzano IE 7.

Nota: Questa vulnerabilità è stata sfruttata in alcuni "targeted attacks".

Soluzione
Al momento non sono state rilasciate patch da parte di Microsoft
Come workaround si può configurare il livello di sicurezza della zona Intranet di IE pari a "Alto" al fine di bloccare i controlli gli ActiveX e gli Script.

Nessun commento:

Posta un commento

http://www.wikio.it