A 24 ore dalla scoperta di una nuova grave falla zero-day che affligge Internet Explorer, Microsoft ha distribuito una semplice procedura di aggiornamento che consente, in attesa del rilascio di una patch risolutiva, di effettuare un rapido “workaround” che va a tutelare il sistema con un intervento correttivo automatico e temporaneo.
Il problema coinvolge IE6, IE7 ed IE8, mentre IE9 risulta al momento immune: «Va detto comunque», sottolinea Webnews, »che i risultati peggiori sono stati riscontrati con IE6 e IE7, con entrambi i due vecchi browser di Microsoft la vulnerabilità viene sfruttata e permette l’esecuzione di codice a un attaccante. Symantec ha verificato come sui sistemi colpiti gli attaccanti riescano a impartire comandi da remoto. Con IE8 invece, grazie all’abilitazione di default della Data Execution Prevention (DEP), l’exploit è in grado soltanto di mandare in crash il browser senza consentire l’esecuzione di codice da remoto.
La vulnerabilità è insita in una errata allocazione della memoria in combinazione all’uso di particolari tag CSS. L’exploit può essere proposto al browser vulnerabile tramite la semplice visita di un sito Web appositamente sviluppato e per questo motivo Secunia (SA42091) giudica l’emergenza «estremamente critica». Microsoft da parte sua ha immediatamente sminuito la portata dell’allarme sottolineando il fatto che l’exploit pubblico è stato immediatamente affossato, le caratteristiche tecniche sembrano evitare un improvviso attacco di massa e le nuove versioni di IE limitano comunque l’insorgere di problemi estremi.
Per evitare ogni possibile attacco, comunque, Microsoft ha distribuito il seguente “Fix It” con il quale gli utenti Windows XP SP2 e Windows Vista hanno la possibilità di attivare la protezione DEP per Internet Explorer. Il tutto, ovviamente, in attesa di una patch correttiva che difficilmente, però, potrà già essere pronta per il prossimo patch day previsto per martedì 9 novembre.