Microsoft ha recentemente pubblicato il Security Advisory 2963983 , avviso di sicurezza riguardante una nuova vulnerabilità presente all’interno di tutte le versioni di Internet Explorer (6-11) e potenzialmente molto pericolosa. Soprattutto se si usa Windows XP, sistema operativo per cui il supporto è scaduto all’inizio di aprile.
La falla è di tipo zero day, quindi risulta già attivamente sfruttata da ignoti cyber-criminali nel tentativo di infettare i sistemi Windows (da Vista in poi, senza dimenticare le versioni Server e il succitato XP) per mezzo di un’istanza di corruzione di memoria da cui far passare codice malevolo eseguito da remoto.
Microsoft dice di essere impegnata a investigare la portata e le caratteristiche della vulnerabilità, mentre per quanto riguarda i possibili rischi per gli utenti viene indicata la possibilità che i cyber-criminali mettano online siti Web appositamente programmati per infettare i client che fanno uso di IE.
La corporation di Redmond non fornisce particolari dettagli o tempistiche riguardo a eventuali patch in grado di chiudere il bug, mentre tra le misure in grado di contenere il rischio vengono indicati l’installazione del solito Enhanced Mitigation Experience Toolkit (EMET), l’uso di IE al massimo livello di sicurezza e il blocco nell’esecuzione dei controlli ActiveX/Active Scripting.
In attesa della patch, un fatto è abbastanza certo : Microsoft non rilascerà alcun aggiornamento per Windows XP, quindi i più coscienziosi tra gli utenti del vetusto OS saranno obbligati a rivolgersi a eventuali soluzioni di terze parti o a usare un browser alternativo come Mozilla Firefox.
Alfonso Maruccia