Microsoft ha pubblicato il security advisory 2887505 dando notizia dell’esistenza di una pericolosa vulnerabilità in “tutte le versioni supportate” di Internet Explorer, un baco potenzialmente pericoloso e il cui sfruttamento potrebbe portare all’esecuzione di codice da remoto.
La nuova falla di IE è di tipo zero-day, vale a dire che è già utilizzata da ignoti cyber-criminali e malware writer per una serie di attacchi mirati che Microsoft dice essere rivolti principalmente ai sistemi che usano Internet Explorer versioni 8 e 9.
“La vulnerabilità ha origine dal modo in cui Internet Explorer accede a un oggetto in memoria che è stato cancellato o non è stato allocato in maniera adeguata” spiega ancora Microsoft, e se sfruttato con un exploit funzionante il baco può dare origine a una corruzione di memoria da cui far passare il codice (potenzialmente malevolo) da eseguire sulla macchina locale.
Redmond dice di essere ancora impegnata a investigare il bug e gli attacchi che già ne fanno uso, e in attesa della conclusione dell’indagine e della auspicabile pubblicazione di una patch la corporation ha rilasciato una soluzione tampone in forma di “Fix it” da un click e via.
Microsoft ci tiene poi a precisare l’esistenza di fattori in grado di mitigare il rischio di venire colpiti dagli attacchi mirati contro la nuova vulnerabilità di IE, fattori come l’esecuzione del browser in modalità ristretta sui sistemi che lo supportano (e in particolare le versioni Server di Windows dal 2003 in poi), il blocco dell’esecuzione dei controlli ActiveX dal pannello di controllo o la disattivazione totale degli script nell’area di protezione Internet e Intranet locale.
Alfonso Maruccia