Tanto tuonò che piovve. Microsoft, derogando alla regola che voleva un update al mese, ha rilasciato oggi un aggiornamento critico di Internet Explorer per correggere la vulnerabilità che aveva portato all’epidemia del trojan Scob (chiamato da Microsoft Download.Ject), diffusasi in rete nei giorni scorsi.
L’aggiornamento arriva dopo che aspre polemiche avevano messo Microsoft in difficoltà per la cura prestata alla sicurezza dei propri software. L’errore che Microsoft corregge con questo aggiornamento era infatti conosciuto da almeno 10 mesi ma solo ad inizio giugno era stata sfruttato per installare sui computer degli utenti programmi nocivi.
L’errore corretto dalla patch riguarda l’oggetto ADODB.Stream dell’ActiveX Data Objects (ADO) che consente di scrivere e leggere file da una pagina Web sul computer degli utenti di Explorer. Un uso nocivo del componente aveva consentito a pirati informatici di installare su un numero imprecisato di utenti, un trojan in grado di registrare password, numeri di carta di credito e informazioni degli account di webmail. In seguito a questo evento, anche il governo USA aveva sconsigliato gli utenti di usare Microsoft Internet Explorer, suggerendo l’uso di altri browser, specialmente su siti considerati non sicuri.
L’aggiornamento disabilita l’utilizzo dell’oggetto ADODB.Stream da Internet Explorer. Ciò potrebbe portare anche ad alcune difficoltà di navigazione sui siti che lo utilizzano in modo lecito. Il componente viene usato per inviare al browser applicazioni e programmi attraverso script dinamici. Quei siti che utilizzano il componente per installare applicazioni proprietarie potrebbero registrare malfunzionamenti e Microsoft raccomanda ai webmaster di utilizzare soluzioni alternative in attesa di una nuova soluzione.
L’aggiornamento coinvolge Internet Explorer (versioni 5 e 6) e i sistemi operativi Windows XP, Windows 2000 e Windows Server 2003. Per installarla si consiglia l’aggiornamento attraverso Windows Update oppure i metodi descritti nel documento 870669 del Microsoft Knowledge Base.
Nel comunicato stampa che ha annunciato il rilascio si legge che «la sicurezza dei computer e delle reti dei nostri utenti è una priorità fondamentale per Microsoft, e abbiamo lavorato giorno e notte per identificare il software criminale che prendeva di mira gli utenti di Internet Explorer». Va tuttavia ricordato che una patch correttiva non ufficiale, che esegue le stesse operazioni di quella ufficiale rilasciata oggi, era già disponibile dallo scorso 10 giugno grazie al gruppo di sicurezza eEye Digital Security.