Vulnerabilità zero-day in IE, patch a febbraio

Microsoft ha pubblicato un bollettino di sicurezza per una vulnerabilità zero-day scoperta in Internet Explorer. Probabilmente si tratta di un bug simile a quello risolto all’inizio del mese da Mozilla con Firefox 72.0.1. L’azienda di Redmond non considera grave il problema, quindi rilascerà la patch a febbraio.

La vulnerabilità è presente in IE9 per Windows Server 2008, IE10 per Windows Server 2012 e IE11 per Windows 7/8.1/10 e Windows Server 2012/2016/2019. Il supporto per Windows 7 è terminato il 14 gennaio, quindi non è chiaro se la patch verrà distribuita anche per questo sistema operativo. Il bug è stato individuato nel componente del browser che gestisce il codice JavaScript e che può causare la corruzione della memoria.

Un malintenzionato potrebbe sfruttare la vulnerabilità per effettuare un attacco tramite sito web infetto ed eseguire codice arbitrario sul computer dell’utente per installare programmi, visualizzare, modificare e cancellare dati o creare un nuovo account con diritti di amministratore che consente di ottenere il controllo completo del sistema.

Microsoft ha confermato che circola un exploit in Rete, ma al momento sono stati rilevati solo attacchi verso target limitati. Se il loro numero aumenterà nei prossimi giorni è possibile una distribuzione anticipata della patch. In caso contrario gli utenti dovranno attendere il tradizionale Patch Tuesday, ovvero l’11 febbraio. L’azienda di Redmond ha abbandonato lo sviluppo di Internet Explorer, quindi il consiglio è utilizzare il nuovo Edge basato su Chromium oppure browser alternativi.

I più esperti possono applicare un workaround che restringe l’accesso al componente JScript.dll da parte dei siti web. Il workaround dovrà essere rimosso prima di installare la patch.