Aggiornamenti recenti Ottobre 17th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- In Italia oltre 2.000 attacchi settimana, ben più della media globale. La ricerca di Check Point
- ChatGPT Agent può essere usato per esfiltrare dati
- La complessità delle password non è così importante. Lo dice il NIST
- Da Ingecom a Ignition Italia: Exclusive Networks rafforza la sua presenza nel Sud Europa
- Apple si oppone alla verifica dell’età per il download delle app
In arrivo una nuova falla Zero-Day per Microsoft Edge
La vulnerabilità è stata annunciata, ma i ricercatori che l’hanno individuata non l’hanno ancora comunicata a Microsoft. In vendita al miglior offerente?
C’è una bella tegola in arrivo per Microsoft: una vulnerabilità Zero-Day che (probabilmente) potrebbe consentire l’esecuzione di codice in remoto aggirando anche la sandbox del browser Microsoft.
Perché tanto mistero? Perché quello che si sa fino a ora è piuttosto poco. L’annuncio, infatti, è stato pubblicato lo scorso 1 novembre con un tweet dai due ricercatori che hanno scoperto la falla (Yushi Liang e Alexander Kochkov) allegando solo un’immagine.
La schermata catturata, però, lascia pochi dubbi: si tratta di una finestra di Edge con in primo piano la “solita” calcolatrice di Windows, cioè il programma che tutti i ricercatori usano di solito per dimostrare come sia possibile aprire un eseguibile attraverso un exploit.
we just broke #Edge, teaming up with kochkov for a stable exploit, brace yourself SBX is coming 🙂 pic.twitter.com/dDKWjr4Db5
— Yushi Liang (@Yux1xi) 2 novembre 2018
Da quel che si capisce, i due stanno ancora lavorando per creare un exploit “stabile”, ma il frutto della loro fatica potrebbe valere davvero parecchio.
Oltre che dal programma Bug Bounty di Microsoft, una ricompensa per lo Zero-Day in questione potrebbe arrivare anche da altri soggetti, come la solita Zerodium, la società specializzata in compravendita di exploit di cui abbiamo scritto in alcuni articoli.
Stando al “listino” di Zerodium, infatti, una falla in Edge come quella descritta potrebbe fruttare la bellezza di 100.000 dollari.
Per sapere come andranno le cose non resta che aspettare. I due ricercatori hanno infatti annunciato la pubblicazione della ricerca e un Proof of Concept in grado di sfruttare il bug.
edge_sbx_pwnd by @Yux1xi & @alexkochkov from Yux1xi on Vimeo.
Per il momento, Liang ha pubblicato su Vimeo il video qui sopra, in cui al posto della calcolatrice, il suo exploit avvia Mozilla Firefox. A occhio, sembra funzionare.
Condividi l'articolo
Bug nella crittografia hardware dei dischi SSD Samsung e Crucial
La nuova vulnerabilità delle CPU Intel si chiama PortSmash
Articoli correlati
Altro in questa categoria
Approfondimenti
-
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di... -
L’importanza delle coperture assicurative cyber per... Tra le conseguenze più impattanti degli attacchi...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre...
-
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo...
-
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
-
Da Ingecom a Ignition Italia: Exclusive Networks rafforza... Dopo quasi trent’anni di attività nel mondo della... -
Apple si oppone alla verifica dell’età per il... In un nuovo post sul proprio blog, Apple ha espresso...
Ransomware: la serie
No posts found.