Siti web

Il difetto critico Zero-Day apre i fori in IE 6 e 7

NYSTV - Real Life X Files w Rob Skiba - Multi Language

NYSTV - Real Life X Files w Rob Skiba - Multi Language
Anonim

Una minaccia appena scoperta che non ha ancora alcuna patch può consentire un attacco basato sul Web contro i browser aggiornati di Internet Explorer 6 e 7, secondo le società di sicurezza.

Entrambi Symantec e Vupen Security ha inviato avvisi sul bug, che riguarda il modo in cui IE gestisce i fogli di stile CSS o CSS. Secondo i post, l'esplorazione di un sito Web con codice di attacco incorporato attiverebbe l'assalto. Il sito potrebbe essere un sito malevolo appositamente creato, o uno che è stato dirottato e ha inserito il codice di attacco.

Secondo il post di Vupen, l'errore riguarda sia IE 6 e 7 su un computer SP3 XP completamente aggiornato e potrebbe consentire l'esecuzione qualsiasi comando su un sistema vulnerabile, come l'installazione di malware. Non ci sono ancora segnalazioni di attacchi attivi, ma il codice di exploit è pubblicamente disponibile.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il post di Symantec dice che i test confermano che l'exploit pubblicato funziona, ma che esso "mostra segni di scarsa affidabilità", vale a dire. non sempre funziona. Un'ulteriore e-mail di Symantec afferma che anche Vista è interessato, ma Microsoft non ha ancora confermato la vulnerabilità.

Gli Zero-Day che influiscono su IE sono in genere maggiori minacce, quindi gli hacker inizieranno probabilmente a nascondere gli attacchi che colpiscono questo difetto siti Web compromessi e posta elettronica e commenti online con collegamenti a siti che contengono attacchi.

Secondo Vupen, la disattivazione di Active Scripting in Internet e le zone di sicurezza Intranet locali bloccheranno gli attacchi contro questo difetto, ma così facendo probabile blocco della funzionalità del sito Web. I report attuali non elencano IE 8 come vulnerabile, ma Symantec avverte che "ci sono possibilità che anche altre versioni di IE e Windows possano essere interessate". La soluzione migliore potrebbe essere quella di utilizzare un browser alternativo come Firefox fino a quando non è disponibile una patch.

Aggiornamento (1:55 pm) : Microsoft ha confermato che la vulnerabilità interessa IE 6 e IE 7, ma non IE 8. La compagnia dice che al momento non è a conoscenza di eventuali attacchi esistenti contro il difetto e potrebbe decidere di rilasciare una patch fuori banda una volta terminata l'indagine.