Settimane dopo che Microsoft ha finalmente ritirato Windows 7 e ha iniziato a consigliare Microsoft Edge come nuovo browser predefinito, 0patch ha dovuto rilasciare un piccolo aggiornamento di sicurezza per Internet Explorer.

Questa vulnerabilità è stata sfruttata attivamente su tutte le versioni di Windows, in particolare su Windows 7. Sfortunatamente, Microsoft ha annunciato che non avrebbe rilasciato alcun nuovo aggiornamento fino alla Patch martedì di febbraio. Ecco perché 0patch ha rilasciato una micro-patch per aiutare le persone colpite dalla vulnerabilità.

0patch agisce prima di Microsoft

Microsoft ha pubblicato una soluzione alternativa ai problemi, questo ha il suo set di difetti.

Poiché la soluzione alternativa ha più effetti collaterali negativi e poiché è probabile che gli utenti di Windows 7 e Windows Server 2008 R2 senza aggiornamenti della sicurezza estesi non ottengano affatto la patch (il loro supporto è terminato questo mese), abbiamo deciso di fornire un micropatch che simula la soluzione alternativa senza i suoi effetti collaterali negativi.

La soluzione alternativa di Microsoft comprende l’impostazione delle autorizzazioni su jscript.dll in modo tale che nessuno sarà in grado di leggerlo. Questa soluzione alternativa ha un effetto collaterale negativo atteso che se si utilizza un’applicazione Web che utilizza JScript legacy (e può essere utilizzata solo con Internet Explorer), questa applicazione non funzionerà più nel browser.

Tra gli effetti collaterali dell’utilizzo della soluzione alternativa, sono stati citati diversi:

Leggi anche  Correzione: le impostazioni di sicurezza TLS non sono impostate sui valori predefiniti