Basta un CSS per mettere KO Internet Explorer

di Guido Grassadonio

scritto il

Qualcuno malignamente potrebbe dire: “siamo alle solite”! È stato scoperto nelle ultime ore un pericoloso bug di Internet Explorer. Il problema riguarda tutte le versioni del browser Microsoft, resta escluso soltanto IE9.

Il pericolo è presto descritto: basta visitare un sito Web che utilizzi un foglio di stile (CSS) appositamente modificato per eseguire l’exploit e avere la possibilità di esecuzione di codice arbitrario sul sistema vittima.

Il bug permette di bypassare i due meccanismi di protezione della memoria “più solidi” implementati da Microsoft: Data Execution Prevention (DEP) e Address Space Layout Randomisation (ASLR).

Microsoft ha pubblicato un bollettino di sicurezza che dettaglia alcuni metodi per mitigare l’impatto della vulnerabilità. Per ora non sono previste patch di sicurezza che possano risolvere il bug.