Microsoft ha rilasciato un avviso di sicurezza per una vulnerabilita'
0-day in Internet Explorer (CVE-2020-0674), che puo' consentire l'esecuzione
di codice arbitrario da remoto.
:: Software interessato
- - Internet Explorer 11 su Windows 10, Windows 8.1 (32-bit e x64),
Windows RT 8.1, Windows 7 (32-bit e x64) Windows Server 2019,
Windows Server 2016, Windows Server 2012, Windows Server 2012 R2,
Windows Server 2008 SP2 (32-bit e x64), Windows Server 2008 R2 SP1 (x64)
- - Internet Explorer 10 su Windows Server 2012
- - Internet Explorer 9 su Windows Server 2008 SP2 (32-bit e x64)
:: Impatto
Abbinato per esempio ad un attacco di phishing, un attaccante remoto puo'
eseguire codice con i permessi dell'utente che sta usando Internet Explorer
per collegarsi ad un sito contenente codice malevolo, appositamente predisposto
per sfruttare un errore nella gestione degli oggetti in memoria da parte
del linguaggio di scripting di Explorer.
:: Soluzioni
Non c'e' ancora una patch per questa vulnerabilita', probabilmente rimandata al
Microsoft Update di febbraio. Nei Riferimenti si trovano alcuni workaround
suggeriti da Microsoft.
:: Riferimenti
Microsoft Security Update Guide (Advisory)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001