Lo scorso mese di giugno, Microsoft aveva rilasciato un bollettino di sicurezza indicando la correzione di un bug “zero day” scoperto da Kaspersky. Il problema era insito nel browser Internet Explorer e con il rilascio della patch il tutto sembrava definitivamente risolto ed archiviato. Qualcosa, però, non è andato per il verso giusto.
The original issue was an arbitrary pointer dereference which allowed the attacker to control the src and dest pointers to a memcpy. The "fix" simply changed the pointers to offsets, which still allows control of the args to the memcpy.
— Maddie Stone (@maddiestone) December 23, 2020
Secondo quanto spiegato ora dal ricercatore Maddie Stone (del Google Project zero), infatti, il CVE-2020-0986 risulta essere a questo punto ormai superato in virtù del fatto che la medesima vulnerabilità possa essere attaccata con un metodo differente. Ferita riaperta, insomma, a dimostrazione del fatto che la correzione di maggio sia stata più una semplice pezza che non un reale intervento risolutivo.
A distanza di 90 giorni dalla segnalazione a Microsoft, nessuna correzione è stata rilasciata e per questo motivo Google ha ora esplicitato i termini del pericolo in corso. Non vi saranno altre patch Microsoft prima di inizio gennaio, dunque la vulnerabilità è destinata a restare aperta fino ad allora: con ogni probabilità, alla luce della gravità del bug e del fatto che fosse già noto al team di Redmond, l’update sarà comunque regolarmente incluso nel prossimo ciclo mensile di aggiornamento.