Gli aggiornamenti di sicurezza previsti per il mese di Marzo non risolvono alcune vulnerabilità già note in alcuni prodotti Microsoft, ivi compreso il browser Internet Explorer. Alle vecchie vulnerabilità ed alle minacce del ballot screen, però, si aggiunge ora un nuovo allarme proveniente direttamente da Microsoft ed inerente ancora una volta ad Internet Explorer.
La comunicazione è diramata contemporaneamente al rilascio degli aggiornamenti mensili (un paio di patch relative nello specifico a Microsoft Excel e Windows Movie Maker) tramite apposito Security Advisory 981374: «Microsoft sta approfondendo una nuova vulnerabilità pubblica in Internet Explorer 6 e Internet Explorer 7». La notizia più importante, però, è nella precisazione seguente: «le nostre indagini hanno mostrato che l’ultima versione del browser, Internet Explorer 8, non è coinvolta». Sebbene siano in molti ad utilizzare ancora IE6 ed IE7, quindi, la soluzione già c’è: l’aggiornamento a IE8 mette al riparo da qualsivoglia tipo di rischio.
Immuni al problema, quindi, IE8 e IE 5.01 SP4 su Windows 2000 SP4. Il bug colpisce invece le versioni 6 e 7 del browser più diffuso al mondo ed apre potenzialmente all’esecuzione di codice da remoto. Microsoft non dispone al momento di alcuna patch risolutiva, ma offre alcune indicazioni utili ad edulcorare lo stato di rischio. Innanzitutto la “Protected Mode” di IE su Windows Vista e Windows 7 è in grado di limitare l’impatto del problema. Inoltre si consiglia di elevare la sicurezza nell’apertura delle email in formato HTML su Outlook e si suggerisce inoltre il click su url non sicure al fine di evitare di incappare in siti appositamente costruiti per affondare l’exploit su sistemi vulnerabili.
Per Microsoft trattasi dell’ennesimo bug zero-day nel giro di pochi mesi, e vari di questi attendono ancora risoluzione. Microsoft in passato ha però mostrato di preferire aggiornamenti massivi per il proprio browser, mettendo da parte i problemi meno urgenti in attesa di patch cumulative. La prima occasione utile per l’aggiornamento potrebbe pertanto essere quella del 13 Aprile, il prossimo patch day. La situazione potrebbe invece cambiare nel caso in cui il problema manifestasse i contorni dell’urgenza: in caso di divulgazione di attacchi di massa Microsoft distribuirebbe una patch “out-of-cycle”, misura estrema che il gruppo preferisce però conservare soltanto per poche sfortunate circostanze.