Microsoft ha segnalato tramite apposito Security Advisory 2458511 la scoperta di una vulnerabilità nel browser Internet Explorer (dalla deprecata versione 6 all’ultima release ufficiale 8). Il problema è emerso in seguito all’insorgere di un exploit in grado di colpire il browser proponendo semplicemente all’utente la visita di un sito web appositamente sviluppato.
Al momento Microsoft non ha ancora a disposizione particolari dettagli sul problema, sul quale si sta investigando, ma a breve il gruppo ha intenzione di mettere a disposizione una procedura automatica “Fix it” che consenta, in anticipo sul rilascio di una patch risolutiva, di attivare un workaround temporaneo che eviti problemi ulteriori al sistema.
Microsoft spiega così la scoperta dell’exploit: «Il codice è stato scoperto su di un singolo sito web che al momento non ospita più l’exploit. Quando il sito è stato scoperto, abbiamo attivato i nostri legali per portare offline il sito». Quando possibile, sottolinea nel bollettino il gruppo, si tenta di reagire immediatamente per tarpare sul nascere gli attacchi, in modo tale da guadagnare tempo per sviluppare l’apposito correttivo da apportare al sistema vulnerabile.
Sottolinea Feliciano Intini sul proprio blog: «Al momento si è a conoscenza di attacchi limitati, e in particolare diretti a IE6, che hanno utilizzato questa vulnerabilità ma sono stati prontamente neutralizzati e non hanno causato alcun danno ai clienti. Si ritiene difficile che si possano realizzare attacchi pericolosi verso IE8 grazie alla protezione offerta dal DEP, abilitata in modo nativo su tutte le versioni di Windows».
Internet Explorer 9 risulta immune dal problema.