Come preannunciato, Microsoft ha rilasciato una patch straordinaria (fuori dal ciclo abituale di aggiornamento) per risolvere un grave problema emerso in Internet Explorer. Trattasi della 78esima patch dell’anno dopo che l’ultimo patch day del 9 dicembre sembrava aver chiuso a 77 il computo totale per il 2008.
Il bollettino MS08-078 indica il fatto che l’installazione della patch va a risolvere il problema non solo nel browser Internet Explorer 7, ma anche nelle versioni precedenti IE6, IE6 SP1 ed IE 5.01. Spiega Microsoft: «La vulnerabilità può permettere l’esecuzione di codice se un utente visita con Internet Explorer una pagina web appositamente costruita. Gli utenti che usano account con bassi diritti sul sistema soffrono un minore impatto rispetto agli utenti che operano con permessi da amministratore.
Non a caso la patch è giudicata come «critica»: online è già stato scoperto un trojan che, in attesa di un aggiornamento che ponesse una pezza al problema, ha colpito un numero imprecisato di utenti soprattutto in Cina. Microsoft ha notificato il tutto a poche ore dal rilascio di quelle che dovevano essere le ultime patch dell’anno. A quel punto le possibilità erano due: attendere il 13 gennaio, giorno del prossimo aggiornamento programmato, oppure intervenire “out of band” con una patch straordinaria. La scelta è ricaduta su quest’ultima possibilità (sempre osteggiata da Microsoft che preferisce distribuire patch qualitative piuttosto che intervenire frettolosamente con aggiornamenti più problematici delle vulnerabilità stesse), il che indica chiaramente la criticità del momento per gli utilizzatori del browser.
Secondo gli analisti iDefense il malware sarebbe già alquanto diffuso e rispetto alla versione originale sarebbero già state scoperte almeno 6 varianti differenti. Inutile pertanto sottolineare l’importanza di un aggiornamento sollecito di Explorer nello stesso giorno in cui aggiornamenti altrettanto importanti sono stati rilasciati sia per Firefox che per Opera. L’update può essere effettuato installando manualmente l’aggiornamento oppure affidandosi al controllo automatico di Windows Update.