Hacker potevano sfruttare un problema di sicurezza sul browser di Redmond che permetterebbe a terzi di assumere il controllo completo del sistema
Nella nota mensile (la MS13 – 053 – Critical) dedicata ad update e correzione di errori, Microsoft ha ammesso di aver tappato una falla che in passato permetteva ad hacker di entrare nei computer e recare non pochi danni. Il bollettino di sicurezza ha affermato come a scoprire il problema sia stato Jose Antonio Vazquez, ricercatore dei Labs di BeriSign iDefense.
Questo Windows, che caratterino!
L’aggiornamento introdotto il 9 luglio, risolve due falle pubbliche e sei vulnerabilità riportate privatamente su Windows. Nel dettaglio, si corregge il modo in cui l’OS gestisce i caratteri True Type all’interno della memoria di Internet Explorer. Tale gestione errata dei caratteri nel browser permetteva il possibile ingresso di hacker che, con gli adeguati strumenti, potevano aprirsi una porta direttamente nell’ambiente di lavoro. La falla CVE-2013-3129 è legata all’esecuzione di codice in modalità remota nel modo in cui i componenti interessati gestiscono appositamente predisposti tipi di font TrueType.
Quali rischi
La vulnerabilità può consentire l’esecuzione di codice, in modalità remota, se un utente apre un file con carattere TrueType. “Un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato con la possibilità di installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti amministrativi completi” – si legge nella nota ufficiale.
