0day exploit in IE, ancora colpa di ActiveX

Il componente ActiveX chiamato XMLHTTP 4.0 ActiveX Control è il componente vulnerabile allo 0day scoperto all’interno di
Microsoft XML Core Services.

La vulnerabilità è pericolosa in quanto basta visitare un sito appositamente creato, per riuscire ad esereguire codice arbitrario sulla macchina vittima; i browser vulnerabili sono Microsoft Internet Explorer 6 e 7 su sistemi Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP0/SP1.

Esiste un exploit privato per tale vulerabilità, ma non esiste una path ufficiale al problema. Microsoft fornisce solo workarounds: primo tra tutti quello di impostare il killbit dell’ActiveX in questione.

Per maggiori informazioni consultare il bollettino Microsoft scritto il 3 Novembre.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento