Agli albori di Internet Explorer 11, e mentre Internet Explorer 10 convince l’utenza tornando a far crescere le quote di mercato del browser di Redmond, i problemi arrivano invece dalle vecchie versioni IE8 e IE9: una nuova grave vulnerabilità è stata scoperta a seguito della pubblicazione online di un nuovo insidioso exploit. La vulnerabilità affligge ogni singola versione di IE (dunque anche la più recente IE10), ma l’exploit è attivo soltanto sulle versioni 8 e 9 del browser, limitando pertanto la pericolosità intrinseca del codice maligno.
Trattasi di fatto di una falla zero-day, contro la quale non è al momento disponibile alcuna soluzione definitiva se non un workaround che i laboratori Microsoft hanno immediatamente sviluppato e messo a disposizione di coloro i quali intendono mettere al sicuro la propria navigazione. Il problema è stato descritto dal gruppo con un Security Advisory (2887505) nel quale si spiega che il problema è insito nel modo in cui il browser gestisce oggetti in memoria (cancellati o non ben allocati). Tramite questa vulnerabilità risulta possibile eseguire codice da remoto, mettendo quindi a rischio il sistema della vittima.
La pubblicazione del bollettino indica inoltre la scoperta di alcuni sporadici attacchi attivi, il che consiglia agli utenti la massima attenzione ed a Microsoft la massima solerzia nell’aggiornamento correttivo. La patch sarà pertanto disponibile fin dal prossimo patch day (previsto per martedì 8 ottobre) oppure al di fuori del ciclo di patch nel caso in cui l’allarme dovesse farsi particolarmente elevato.
Al momento tutto quel che è possibile fare per ridurre il rischio sulle versioni colpite IE8 e IE9 è installare l’apposito Fix It diramato. L’installazione è possibile tramite il click sull’icona sottostante, ma il tutto non sostituisce in alcun modo la specifica patch che sarà distribuita a tempo debito tramite il tradizionale canale Microsoft Update.