Google svela falla di IE prima della patch

wintricks.staff · 05-01-2011, 10.32.38

Microsoft sta analizzando le segnalazioni giunte in questi ultimi giorni su una vulnerabilità zero-day che affligge Internet Explorer durante la gestione dei CSS. Il problema è stato scoperto utilizzando cross_fuzz, uno strumento che è in grado di generare codice HTML malformato in maniera tale da poter verificare la sicurezza dei browser, realizzato da Michal Zalewski, un ricercatore di Google. Il problema è che il ricercatore ha reso pubblica la vulnerabilità che affligge Internet Explorer, prima che Microsoft potesse rilasciare una patch in grado di correggere il problema.

Jerry Bryant, direttore delle comunicazione di Microsoft, ha confermato che Google ha fornito una copia dello strumento incriminato nel luglio del 2010. Nessuna delle due società rilevò problemi di sicurezza nel browser utilizzando la prima versione di cross_fuzz, ma esclusivamente quando il programma è stato aggiornato. Bryant ha fatto sapere che il 21 dicembre ha ricevuto la nuova versione del software e le informazioni relative alla possibilità di sfruttare un bug scovato con la nuova versione di cross_fuzz e che attualmente Microsoft si è attivata per indagare ulteriormente e se il bug possa essere sfruttato.

In data 22 dicembre, e successivamente aggiornato il 31 dello stesso mese, Microsoft si è affrettata a pubblicare un Security Advisory (2488013) nel quale confermava che la vulnerabilità segnalata è in grado di colpire tutte le versioni di Internet Explorer. Microsoft fa sapere che la vulnerabilità è dovuta dalla creazione di memoria non inizializzata durante una funzione CSS all'interno del browser, questo rende possibile che la memoria sia sfruttata da un'aggressore costruendo una pagina web ad hoc. Microsoft sostiene che Zalewski ha aumentato il rischio per gli utenti di Internet Explorer, i quali potrebbero essere facile preda dei cyber criminali al momento che la patch non è stata ancora accuratamente testata e rilasciata. Microsoft fa sapere che attualmente non vi è stato ancora nessun attacco in grado di sfruttare la vulnerabilità.

Drumsal · 05-01-2011, 12.00.41

Certo che 'sto Zalewski è un furbacchione

05-01-2011, 10.32.38	#1
wintricks.staff Hero Member Registrato: 04-04-2000 Loc.: TriVeneto, Italia Messaggi: 605	Google svela falla di IE prima della patch Microsoft sta analizzando le segnalazioni giunte in questi ultimi giorni su una vulnerabilità zero-day che affligge Internet Explorer durante la gestione dei CSS. Il problema è stato scoperto utilizzando cross_fuzz, uno strumento che è in grado di generare codice HTML malformato in maniera tale da poter verificare la sicurezza dei browser, realizzato da Michal Zalewski, un ricercatore di Google. Il problema è che il ricercatore ha reso pubblica la vulnerabilità che affligge Internet Explorer, prima che Microsoft potesse rilasciare una patch in grado di correggere il problema. Jerry Bryant, direttore delle comunicazione di Microsoft, ha confermato che Google ha fornito una copia dello strumento incriminato nel luglio del 2010. Nessuna delle due società rilevò problemi di sicurezza nel browser utilizzando la prima versione di cross_fuzz, ma esclusivamente quando il programma è stato aggiornato. Bryant ha fatto sapere che il 21 dicembre ha ricevuto la nuova versione del software e le informazioni relative alla possibilità di sfruttare un bug scovato con la nuova versione di cross_fuzz e che attualmente Microsoft si è attivata per indagare ulteriormente e se il bug possa essere sfruttato. In data 22 dicembre, e successivamente aggiornato il 31 dello stesso mese, Microsoft si è affrettata a pubblicare un Security Advisory (2488013) nel quale confermava che la vulnerabilità segnalata è in grado di colpire tutte le versioni di Internet Explorer. Microsoft fa sapere che la vulnerabilità è dovuta dalla creazione di memoria non inizializzata durante una funzione CSS all'interno del browser, questo rende possibile che la memoria sia sfruttata da un'aggressore costruendo una pagina web ad hoc. Microsoft sostiene che Zalewski ha aumentato il rischio per gli utenti di Internet Explorer, i quali potrebbero essere facile preda dei cyber criminali al momento che la patch non è stata ancora accuratamente testata e rilasciata. Microsoft fa sapere che attualmente non vi è stato ancora nessun attacco in grado di sfruttare la vulnerabilità.

05-01-2011, 12.00.41	#2
Drumsal Junior Member Registrato: 05-06-2006 Messaggi: 109	Certo che 'sto Zalewski è un furbacchione

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)