Vulnerabilità in Edge permetteva l'esecuzione di codice in modalità remota

Il ricercatore che ha scoperto la nuova lacuna di sicurezza in Edge spiega le modalità d'attacco e conferma che la patch rilasciata da Microsoft nei giorni scorsi risolve il problema.

Fino a pochi giorni fa Edge soffriva di una pericolosa lacuna di sicurezza che poteva permettere l’esecuzione di codice potenzialmente dannoso semplicemente visitando una pagina web malevola.
L’autore della scoperta, il ricercatore Bruno Keith, ha dettagliato il problema pubblicando su GitHub anche il codice proof-of-concept che consente di far leva sul bug individuato nel browser Microsoft.

Fortunatamente la falla di sicurezza – che affliggeva il compilatore just-in-time (JIT) di Edge – è stata risolta con il rilascio degli aggiornamenti Microsoft di dicembre 2018. Come spiegano i tecnici dell’azienda di Redmond in questo bollettino, un aggressore che riesca a indurre la vittima a visitare una certa pagina web contenente il codice exploit può eseguire istruzioni sul dispositivo dell’utente usando l’account con cui quest’ultimo risulta “loggato”. Utilizzando alcuni espedienti un criminale informatico può anche arrivare ad assumere il controllo del sistema remoto.


A questo punto, soprattutto se si fosse utenti di Microsoft Edge, è importante procedere con l’installazione degli aggiornamenti per Windows 10 rilasciati lo scorso 11 dicembre.
Purtroppo Microsoft ha deciso di optare da tempo per i cosiddetti “aggiornamenti cumulativi”: non v’è quindi la possibilità di scaricare e installare la singola patch per il browser Edge.
In questa pagina sono comunque disponibili i link per il download dei singoli aggiornamenti cumulativi destinati alle varie versioni di Windows 10.

Ti consigliamo anche

Link copiato negli appunti