Microsoft comunica l’esistenza di un grave rischio di sicurezza per gli utenti di Internet Explorer 8, a causa di una nuova vulnerabilità 0-day che riguarda esclusivamente la succitata versione del browser di Redmond e “risparmia” le release precedenti o successive di IE (6, 7, 9, 10).
La corporation statunitense ha distribuito un Advisory di sicurezza che descrive il problema, una possibile corruzione di memoria che può portare all’esecuzione di codice malevolo e per cui gli ingegneri di Redmond sono già al lavoro su una patch correttiva.
Nel frattempo, comunica Microsoft, il rischio si può attutire agendo sulle autorizzazioni per l’esecuzione di script e controlli ActiveX o in alternativa lo si può eliminare installando una versione aggiornata del browser.
Quello che Microsoft originariamente non ha illustrato ma che è divenuto chiaro nel corso degli ultimi giorni, però, è il reale livello di pericolosità della falla di IE 8: un sito riconducibile al Dipartimento del Lavoro del governo statunitense è stato recentemente attaccato proprio a partire dalla vulnerabilità zero day in oggetto, mentre altrove si parla di compromissioni sui portati riconducibili all’industria nucleare americana, ad aziende europee del settore aerospaziale e ai mercati della difesa e della sicurezza.
Un exploit funzionante in grado di abusare della falla è inoltre disponibile come modulo per Metasploit, fatto che rende la vulnerabilità di accesso generale e che potrebbe portare Microsoft a decidere per la distribuzione di una patch risolutiva in tempi brevi.
Alfonso Maruccia