Daniel Kraft: Medicine's future? There's an app for that
Gli esperti di sicurezza dicono che I navigatori del Web dovrebbero installare immediatamente una nuova soluzione per il browser Microsoft Explorer di Internet, rilasciata mercoledì mattina.
Il difetto, che è stato accidentalmente reso pubblico dai ricercatori cinesi di sicurezza poco più di una settimana fa, è stato utilizzato in un numero crescente di Web attacchi basati su questi ultimi giorni. I criminali hanno pubblicato un codice di attacco che sfrutta questo difetto su migliaia di siti Web finora, secondo Rick Howard, direttore dell'intelligence con il gruppo iDefense di Verisign. Verisign ha ora visto sei varianti del software di attacco, che tentano tutte di rubare le credenziali di gioco online cinesi.
Spesso l'attacco viene lanciato attraverso un componente iFrame nascosto che viene inserito surrettiziamente su un sito Web. Verisign ha persino avvistato uno di questi attacchi iFrame sul sito Web di un'istituzione finanziaria legittima, ha affermato Howard. "Il volume di iFrames che implementano questa cosa è molto alto."
[Ulteriori informazioni: Come rimuovere malware dal PC Windows]Il difetto sta nel funzionamento della funzione di associazione dei dati di Internet Explorer, Microsoft ha affermato. Quando il browser viene attaccato si blocca, corrompendo la memoria del computer e consentendo al criminale di eseguire software non autorizzato.
Poiché Internet Explorer è utilizzato da circa il 70% dei navigatori Web, questo codice di attacco verrà probabilmente visualizzato in software dannoso ampiamente utilizzato toolkit "molto presto", ha detto Howard.
Altre società di sicurezza hanno concordato con la valutazione di Verisign. "L'ultima release di patch out-of-band di IE di Microsoft deve essere installata immediatamente", ha affermato Shavlik Technologies in una dichiarazione. "Il numero di siti Web infetti sta crescendo ad un ritmo allarmante - anche le persone che visitano siti Web legittimi vengono violate da questo exploit."
La falla è così seria, infatti, che Microsoft ha preso il passo insolito di emettere il suo fix di sicurezza settimane prima del previsto. In genere Microsoft rilascia patch di sicurezza solo una volta al mese per semplificare la vita degli amministratori di sistema. La prossima serie di aggiornamenti è prevista per il 13 gennaio.
I criminali potrebbero anche lanciare i loro attacchi via e-mail, inviando vittime documenti HTML codificati maliziosamente, sebbene questo tipo di attacco non sia stato segnalato.
La patch di Microsoft è per utenti di IE versione 5 e successive.
Microsoft corregge i bug critici del Web con gli aggiornamenti di sicurezza
Microsoft ha rilasciato due aggiornamenti di sicurezza martedì per correggere i difetti del suo software.
Le modifiche MS sintonizzano, gli attacchi degli hacker stanno sfruttando il nuovo bug
Microsoft ha modificato uno dei suoi bollettini sulla sicurezza di martedì, dicendo che un errore MS09-051
E-mail vulnerabilità degli exploit degli attacchi nel sito di Yahoo per dirottare gli account
Gli hacker dietro una campagna di attacco e-mail rilevata di recente stanno sfruttando una vulnerabilità in un sito Web di Yahoo per dirottare gli account e-mail degli utenti di Yahoo e utilizzarli per lo spam, secondo i ricercatori di sicurezza del fornitore di antivirus Bitdefender.