Gli utenti di Windows sono invitati ad aggiornare i propri computer al più presto possibile, dopo che Microsoft ha rilasciato una patch, fuori dal suo ciclo mensile di aggiornamenti, per un problema di Internet Explorer che consente agli aggressori di eseguire codice dannoso in modalità remota, qualunque siano i privilegi dell'utente corrente. La vulnerabilità, che è già sfruttata in natura, secondo la società, riguarda Internet Explorer versioni da 7 a 11 su sistemi operativi client e server. Microsoft Edge, il nuovo browser Web incluso in Windows 10, non è interessato dal problema.
Questo aggiornamento per la protezione risolve una vulnerabilità in Internet Explorer. La vulnerabilità CVE-2015-2502 può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare la vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), e Internet Explorer 11 (IE 11) su client Windows interessati, e moderato per Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), e Internet Explorer 11 (IE 11) su Windows server interessati. La falla è causata da un problema di Internet Explorer che accede impropriamente agli oggetti in memoria e potrebbe consentire l'esecuzione di codice arbitrario.
Per ulteriori informazioni sulla vulnerabilità, vedere l'articolo KB3088903. Microsoft ha rilasciato le patch per tutti le interessate (e sostenute) versioni di Windows. Queste patch sono già disponibili tramite Windows Update e tramite Microsoft Download Center. L'aggiornamento è elencato come "aggiornamento cumulativo per Windows 10 (KB3081444)", e indicato con il codice KB3087985 sulle versioni precedenti di Windows. L'aggiornamento KB3078071 è un prerequisito per questo aggiornamento in Windows 8.1 e 7 e Windows Server 2008 R2 e il 2012 R2.
Un portavoce di Microsoft ha detto a ZDNet in una dichiarazione: "Windows è l'unica piattaforma con un impegno verso il cliente per studiare problemi di sicurezza segnalati, e aggiornare in modo proattivo i dispositivi impattati il più presto possibile". "Raccomandiamo ai clienti che utilizzano Windows 10 e il browser Microsoft Edge per la migliore protezione. Oggi, Microsoft ha rilasciato il Security Bulletin MS15-093 per proteggere ulteriormente i dispositivi dei clienti da vulnerabilità di sicurezza che interessano Internet Explorer. Microsoft Edge non è stato influenzato", ha aggiunto.
Nessun commento:
Posta un commento