McAfee e Symantec hanno confermato: una nuova vulnerabilità è effettivamente presente su Internet Explorer e, soprattutto, è già disponibile online un codice di exploitdi grave pericolo potenziale. La falla zero day è stata comunicata da Microsoft in concomitanza con il rilascio delle patch mensili per gli aggiornamenti di sicurezza, ma le prime indicazioni non fornivano dettagli utili a comprendere la natura esatta del problema.
Secondo McAfee il bug è di particolare pericolo su Internet Explorer 6. La versione 7 sembra più che altro cadere in crash, senza ulteriori conseguenze, grazie alle protezioni offerte dalla Data Execution Prevention (in grado di mitigare l’esposizione del browser). La fonte dell’attacco è già stata identificata: una semplice visita sul sito creato sfruttando il codice permette ad un malintenzionato di installare una backdoor sul sistema vulnerabile. Ciò significa che, forzando semplicemente la visita del sito mediante estese azioni di spamming, è possibile dar vita ad uno strumento potenzialmente in grado di arricchire di zombie le fila di una botnet.
Microsoft non ha a disposizione alcuna patch ed al momento non ha intenzione di distribuirne: l’attesa è per il prossimo patch day, oppure per un eventuale aggiornamento “out of cycle” da utilizzarsi soltanto in caso di urgenza. Quest’ultima ipotesi dipenderà dall’evolversi della situazione. Al momento l’exploit non sarebbe privo di difetti e sarebbe infatti in grado di portare a segno il proprio disegno truffaldino soltanto nel 60% dei casi circa (cifra azzerata in presenza di DEP). Se non scaturiranno nuove versioni in grado di rendere virale l’infezione, insomma, la patch urgente è una ipotesi probabilmente da scartarsi.
Gli utenti hanno comunque fin da subito a disposizione una soluzione semplice, pratica ed utile per mettere al riparo il sistema da ogni pericolo: l’aggiornamento di Internet Explorer alla versione 8 permette di evitare ogni rischio portando sul desktop l’ultima versione del browser, immune al bug ed al di fuori delle minacce dell’exploit.