Microsoft, oggi arriverà una patch per una falla critica in Explorer 6, 7 ed 8
Durante la giornata di oggi 14 gennaio, Microsoft dovrebbe rilasciare una patch urgente per risolvere una falla critica in tre diverse edizioni di Internet Explorer, nessuna delle quali è recentissima: la 6, la 7 e la 8.
C’era già un rimedio da scaricare direttamente da Redmond, ma quello di cui si parla qui è ovviamente un update ufficiale alla sicurezza. Chi ha il “fix” temporaneo precedente non deve temere problemi se scaricherà anche l’update, è ovvio.
Vediamo un attimo più in profondità di cosa si tratta: la falla è tanto grave da meritarsi l’appellativo di “Critical” dalla casa e di “Zero day” dagli esperti. Questo significa che consente ad un esterno di eseguire del codice in remoto sulla macchina della vittima di tale vulnerabilità.
C’è un difetto di sicurezza nel metodo con cui Internet Explorer accede ad un oggetto nella sua memoria ma trova un “vuoto” perché il suo bersaglio è stato cancellato. Da qui è possibile corrompere la memoria in maniera tale da compromettere la macchina, costringendola a far eseguire ad Internet Explorer un processo. Significa che un hacker potrebbe creare un sito malevolo ed infettare l’utente senza interventi da parte di quest’ultimo.
Il problema è stato scoperto in dicembre, secondo Redmond, che ha messo circa un mese per diffondere l’aggiornamento tramite il canale ufficiale Windows Update, ma purtroppo l’exploit è stata già sfruttata a dovere da alcuni cybercriminali, che finora sono stati addirittura in grado di aggirare il “rimedio temporaneo”.
Esempi di malware che sfruttano questa falla sono finora stati tipici: un misto di HTML, JavaScript e Flash distribuito da alcuni siti, spesso infettati senza che il proprietario se accorgesse. In ogni caso consiglierei a tutti quelli che usano queste vecchie versioni di IE di passare alle generazioni successive.
... alla faccia della tempestività
