Microsoft ha rilasciato due aggiornamenti di sicurezza non pianificati, uno dei quali corregge una vulnerabilità critica di Internet Explorer che gli aggressori stanno sfruttando attivamente.
La vulnerabilità in questione, denominata CVE-2019-1367, è un difetto che consente l'esecuzione di codice da remoto. Il bug riguarda il modo in cui il motore di scripting di Microsoft gestisce alcuni tipi di oggetto in memoria.
La vulnerabilità potrebbe corrompere la memoria, consentendo a utenti malintenzionati di assumere il controllo di dell'intero sistema preso di mira. L'aggressore potrebbe quindi installare programmi, visualizzare, modificare o eliminare dati, oppure creare nuovi account con privilegi di amministratore.
Per sfruttare la falla, l'aggressore predispone una pagina web appositamente confezionata, attirando le vittime sul sito. A quel punto scatta la trappola.
Trattandosi di una falla piuttosto grave, il colosso di Redmond ha preferito correre ai ripari e ha rilasciato l'aggiornamento per la protezione che risolve la vulnerabilità modificando il modo in cui il motore di scripting gestisce gli oggetti in memoria.
Se al momento non vi è possibile installare l'aggiornamento di sicurezza, si consiglia di utilizzare browser alternativi.
