I funzionari federali hanno inviato un avvertimento agli utenti di Internet Explorer: smettere di usare il browser Web fino a quando Microsoft non sarà in grado di mitigare una minaccia alla sicurezza.
La Squadra dell'Unità d'Emergenza del Computer degli Stati Uniti, una divisione del Dipartimento della Sicurezza Nazionale, sta emettendo l'avvertimento. L'agenzia governativa raccomanda di evitare l'uso di Internet Explorer fino a quando Microsoft non troverà una soluzione a un difetto nel browser che gli hacker hanno già utilizzato per lanciare attacchi. CERT ha detto in una dichiarazione questa settimana:
$config[code] not found"US-CERT è consapevole dello sfruttamento attivo di una vulnerabilità use-after-free in Microsoft Internet Explorer. Questa vulnerabilità interessa versioni di IE 6 e 11 e potrebbe consentire l'esecuzione di codice in modalità remota non autorizzata. "
Microsoft ha fornito alcune soluzioni alternative per gli utenti fedeli di Internet Explorer o per coloro che non possono utilizzare un altro browser. Ma gli utenti di Windows XP non troveranno utili queste soluzioni alternative, afferma CERT. Dovrebbero sicuramente trovare un altro browser Web fino a quando non viene gestito il rischio per la sicurezza.
Nel suo avviso di questa settimana, Microsoft ha spiegato che il bug di IE è classificato come vulnerabilità legata all'esecuzione di codice in modalità remota. In un avviso di sicurezza pubblicato sul sito Web di Microsoft, la società dice:
"La vulnerabilità esiste nel modo in cui Internet Explorer accede a un oggetto in memoria che è stato cancellato o non è stato allocato correttamente. La vulnerabilità può danneggiare la memoria in un modo che potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente in Internet Explorer. Un utente malintenzionato potrebbe pubblicare un sito Web appositamente predisposto per sfruttare questa vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web. "
Se si viene attaccati dalla vulnerabilità di sicurezza di Internet Explorer, un hacker potrebbe ottenere le stesse credenziali amministrative presenti sul computer. Ciò potrebbe includere l'accesso a informazioni sensibili non solo su di te, ma anche sui tuoi dipendenti, clienti e clienti. Gli utenti con meno accesso su un computer specifico che sono stati compromessi sarebbero meno influenzati dalla vulnerabilità della sicurezza, osserva Microsoft.
Affinché l'attacco si verifichi, un utente di computer dovrebbe fare clic su un collegamento alla pagina Web dell'utente malintenzionato inviata tramite e-mail o messaggio istantaneo. Quando si fa clic sul collegamento, il sito Web può sfruttare il problema di sicurezza di IE, consentendo al cyber-attacco di procedere.
Microsoft afferma nel proprio Advisory sulla sicurezza che qualsiasi patch per mitigare questa vulnerabilità con Internet Explorer verrebbe probabilmente emessa in un aggiornamento mensile della sicurezza. Tuttavia, a seconda della rapidità con cui viene sviluppata una nuova patch, Microsoft potrebbe decidere di rilasciare uno speciale aggiornamento di sicurezza per la maggior parte dei suoi utenti.
Al di fuori degli utenti di Windows XP, Microsoft afferma che le persone possono aggirare i difetti di sicurezza collegati al proprio browser in vari modi a seconda del tipo di prodotto Microsoft utilizzato.
Ad esempio, gli utenti che operano su Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 possono abilitare la modalità di sicurezza avanzata. Ciò dovrebbe mitigare il rischio per la sicurezza, afferma Microsoft.
Nel frattempo, gli utenti di Microsoft Outlook, Microsoft Outlook Express e Windows Mail dovrebbero aprire e-mail HTML solo nella Zona Siti con restrizioni. Fare clic sui collegamenti nel programma di posta elettronica ordinario potrebbe sfruttare l'errore di sicurezza del browser, avverte Microsoft.
Questo è il primo grande difetto di sicurezza con Windows e Internet Explorer da quando Microsoft ha interrotto il supporto per il sistema operativo XP. Microsoft ha annunciato all'inizio di questo mese che non avrebbe più rilasciato aggiornamenti di sicurezza e software per il sistema operativo un tempo popolare. Pertanto, quando Microsoft rilascia un aggiornamento per risolvere questa vulnerabilità di IE, probabilmente non sarà compatibile con Windows XP.
Microsoft Photo tramite Shutterstock
4 commenti ▼