Zero
Ricordate quando Internet Explorer usato per incidente come questo?
(Immagine via Dell.com)
Microsoft ha rilasciato un out-of-band sicurezza aggiornamento di oggi, 19 dicembre, per una vulnerabilità di Internet Explorer, che è attualmente oggetto di violenza in natura.
Il sistema operativo maker accreditato Clemente Lecigne di Google Minaccia di Gruppo di Analisi, individuazione e segnalazione di IE zero-day.
Inoltre: Perché la connessione Vpn non sono un rischio vale la pena prendere
Secondo un security advisory rilasciato, al tempo stesso, con il pacchetto di aggiornamento, CIOÈ zero-day può consentire a un utente malintenzionato di eseguire codice dannoso sul computer di un utente.
Monitorati come CVE-2018-8653, questo zero-day può essere sfruttata in web-a base di scenari, in cui un utente malintenzionato esche da un utente su un sito dannoso che viene eseguito codice dannoso sul proprio computer.
Il problema può anche essere sfruttata tramite applicazioni che incorporano la IE motore di script per eseguire il rendering di contenuti web-based-come l’app parte della suite di Office.
La buona notizia, secondo Microsoft, è che l’attaccante di ottenere l’esecuzione del codice dei diritti di sotto degli stessi privilegi della vittima, se l’utente ha. Se la vittima è di utilizzare un account con accesso limitato, il danno può essere contenuta, per semplici operazioni, anche se questo può essere sufficiente per impianto di malware sui computer della vittima.
Tuttavia, le cose sono un po ‘ più complicato. Nei quattro mesi precedenti, Microsoft ha patchato altri quattro a zero giorni. Tutti questi zero-giorni di permettere a qualcosa chiamato “l’elevazione dei privilegi.”
Anche: sicurezza informatica: il Tuo capo non si cura e che non è OK
Questo significa che, se la vittima non ha perso nessuna delle precedenti quattro Patch di Windows martedì di patch, un utente malintenzionato può catena IE zero-day con uno dei precedenti zero-giorni (CVE-2018-8611, CVE-2018-8589, CVE-2018-8453, CVE-2018-8440) per ottenere l’accesso a livello di SISTEMA e di prendere il controllo di un computer di destinazione.
Questo è il motivo per cui è estremamente importante che gli utenti di mantenere i loro sistemi aggiornato, in particolare con Microsoft recenti aggiornamenti di sicurezza.
Microsoft ha rilasciato oggi KB4483187, KB4483230, KB4483234, KB 4483235, KB4483232, KB4483228, KB4483229, e KB4483187 di indirizzo IE zero-day.
Deve leggere
Windows 10 utenti devono attendere per installare l’aggiornamento più recente TechRepublic
In occasione della RSA Conference, Questa volta con più donne CNET
Con le vacanze invernali provenienti veloce per molti reparti IT, alcuni amministratori potrebbe non avere il tempo di testare e distribuire oggi l’aggiornamento per la protezione.
Microsoft ha anticipato il disagio e la vulnerabilità CVE-2018-8653 avviso di sicurezza contiene anche soluzioni alternative per limitare l’accesso a IE motore di scripting, fino a quando gli amministratori di sistema possono distribuire oggi la patch ufficiale.
Microsoft Edge, la società browser più recente, non è coinvolto in questo “giorno zero”.
Storie correlate:
Facebook bug esposto le foto private di 6,8 milioni di usersLogitech app falla di sicurezza ha permesso di battitura iniezione attacksSQLite bug impatti migliaia di applicazioni, tra cui tutti Cromo-based browsersBing consiglia di pirateria esercitazione durante la ricerca per l’Ufficio 2019Shamoon malware distrugge i dati italiani della compagnia petrolifera e del gas’Bomb minaccia”, sono dei truffatori che ora minacciano di gettare acido in materia di vittime
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0