Il baco, individuato alla fine di gennaio, consiste in una vulnerabilità nella gestione dei documenti in formato MHTML da parte di Windows. Un malintenzionato potrebbe mettere in piedi un sito web appositamente predisposto, spingere l’utente a visitare la pagina e costringere il browser a scaricare ed eseguire codice JavaScript in locale .
Il browser interessato dalla vulnerabilità è Internet Explorer – indipendentemente dalla versione – per via della capacità di gestire i file MHTML in maniera nativa. Gli ultimi report di Microsoft confermano che il bug è ora attivamente sfruttato da exploit presenti in rete, e Google sostiene che gli attacchi sono in particolare mirati contro suoi utenti e gli attivisti.
Per un’eventuale quanto probabile patch ufficiale in grado di chiudere la vulnerabilità occorrerà attendere almeno un mese , quando Microsoft rilascerà il prossimo ciclo di “pezze” per i suoi sistemi operativi Windows.
Nell’attesa è possibile applicare il “Fix it” specifico già distribuito da Redmond alla fine di gennaio, o in alternativa si può sempre passare alla navigazione web via browser alternativi a IE: Firefox, Opera e gli altri sono per loro natura impermeabili al baco per via dell’incapacità di gestire in maniera nativa il formato MHTML.
Alfonso Maruccia