Microsoft ha annunciato, pubblicato e distribuito l’importante patch che va a risolvere uno dei bug più chiacchierati di sempre sul browser Internet Explorer. La vulnerabilità, infatti, è stata scoperta ormai dieci giorni or sono entrando direttamente al centro di un caso internazionale che ha messo in crisi i rapporti tra Google e la Cina, offrendo così enorme eco mediatica al problema e portando addirittura le istituzioni tedesche e francesi a consigliare il boicottaggio del browser in favore di soluzioni alternative.
La patch è la seconda dell’anno, dopo che il bollettino MS10-001 aveva rappresentato l’unico aggiornamento rilasciato con il patch day di Gennaio. L’aggiornamento può essere ora effettuato o tramite download ed installazione manuale, oppure semplicemente tramite le procedure automatiche di Windows Update. Il bollettino MS02-002 aggiorna tutte le versioni di Internet Explorer, dalla 5.01 alla 8, descrivendo un pericolo «critico» a prescindere dal sistema operativo utilizzato. L’aggiornamento, infatti, va ben oltre la sola vulnerabilità “cinese” (per cui Microsoft ringrazia per la collaborazione Google, Adobe e McAfee) e coglie l’occasione per tutta una serie di altri update.
Usando la dettagliata descrizione offerta da Feliciano Intini, responsabile per la sicurezza del gruppo Microsoft:
- «Microsoft ha approfittato di questo rilascio per includere in questo bollettino la correzione di altre 7 vulnerabilità non pubbliche (=segnalate in modo responsabile), […], per un totale di 8 vulnerabilità: in questo modo ipotizzo che si riuscirà ad evitare la presenza di un bollettino su IE durante il prossimo rilascio di sicurezza (martedì 9 febbraio), a tutto vantaggio degli impegni di distribuzione da parte dei clienti»;
- «Si tratta di un aggiornamento cumulativo, come lo sono ormai da diverso tempo tutti gli aggiornamenti di IE: questo implica l’importante comodità per gli utenti che fossero in ritardo con gli aggiornamenti passati di riuscire a risolvere tutti i problemi risolti fino ad oggi con la sola installazione di questo bollettino»;
- «Dal momento che risulta vulnerabile il motore di rendering di IE (MSHTML.DLL), il quale può essere utilizzato da altre applicazioni che vogliono aggiungere funzionalità di navigazione, ci sono altre applicazioni oltre a IE che possono potenzialmente agire da vettore di attacco, ma l’installazione dell’aggiornamento MS10-002 protegge da tutte queste modalità:
- client di posta come Outlook (tranne Outlook 2007 che usa un differente motore di rendering), Outlook Express e Windows Live Mail;
- applicazioni Office (come Word, Excel, Powerpoint e Access);
- applicazioni di terze parti che utilizzino la libreria MSHTML.DLL come motore di rendering».
L’aggiornamento del browser è un passaggio obbligato poiché va a risolvere un bug il cui exploit è pubblico ed ha già arrecato seri danni, sia pur se limitatamente alle grandi aziende coinvolte nella questione cinese. Microsoft ha spiegato anzitempo di aver voluto distribuire la patch fuori dal consueto ciclo mensile soprattutto per una sorta di precauzione, per limitare i danni di immagine al proprio browser e per offrire una soluzione immediata a quanti temevano per la sicurezza del proprio sistema. La parte restante dei bug risolti costituisce un utile complemento che, concentrando in un unico pacchetto la complessità degli aggiornamenti, facilita il compito dell’utenza e degli amministratori di sistema nel mantenere aggiornato il software.