Nuovo aggiornamento di sicurezza in distribuzione per il browser Internet Explorer. Si tratta di un aggiornamento cumulativo estremamente importante, la cui priorità è suggerita dalla tempistica stessa del rilascio della patch. Il tutto avviene infatti ad appena una settimana di distanza dal rilascio dei tradizionali aggiornamenti mensili di sicurezza, al di fuori quindi del ritmo tradizionale di rilascio.
Si tratta di una pratica rara: Microsoft ha ormai una policy estremamente consolidata e chiara in proposito, privilegiando la cadenza regolare degli aggiornamenti per facilitare il lavoro dei sistemisti e facilitare gli aggiornamenti degli utenti. L’eccezione alla regola è dettata soltanto da motivi di estrema urgenza, quali falle zero-day alle quali è possibile porre rimedio con patch che non necessitino di particolari sforzi di sviluppo e test.
In questo caso il problema è stato scoperto dai ricercatori Google del Threat Analysis Group ed è descritto all’interno del bollettino CVE-2018-8653 “Scripting Engine Memory Corruption Vulnerability“. Secondo quanto indicato, un malintenzionato avrebbe la possibilità di eseguire codice da remoto agendo con medesimi permessi accreditati all’utente loggato su Windows. L’attacco potrebbe essere perpetrato a seguito della semplice visita da parte dell’utente di un sito Web appositamente sviluppato: altro non serve, quindi, che convincere l’utente a cliccare su un link per portare il browser sul sito maligno.
L’attacco sarebbe già in essere, il che configura la falla come una “zero day” di estrema gravità. Di qui l’importanza di un aggiornamento solerte, affidandosi ad un controllo manuale tramite il servizio Microsoft Update sul proprio pc.