Zero-Day Initiative (ZDI) ha scoperto una vulnerabilità zero-day in Internet Explorer 8 che potrebbe essere sfruttata per eseguire codice remoto sul computer della vittima. La falla è stata individuata ad ottobre 2013, ma finora Microsoft non ha rilasciato nessuna patch risolutiva. ZDI aveva contattato l’azienda di Redmond, che ha confermato l’esistenza del bug. Dato che ora i dettagli sono pubblici, è consigliabile utilizzare altri browser, in attesa dell’aggiornamento di sicurezza. IE8 è l’ultima versione compatibile con Windows XP.
La vulnerabilità è presente nel gestore degli oggetti CMarkup, in particolare nell’errata gestione della memoria liberata in seguito all’esecuzione del codice JavaScript. Un malintenzionato potrebbe sfruttare la falla zero-day attraverso la tecnica drive-by-download, se l’utente visita un sito infetto, oppure inviando un allegato di posta elettronica. L’attacco ha successo solo se il cybercriminale riesce a convincere l’utente ad aprire una pagina web, eventualmente tramite tecniche di ingegneria sociale.
In base alla timeline pubblicata sul sito ZDI, il bug è stato scoperto l’11 ottobre 2013 e segnalato a Microsoft lo stesso giorno. La conferma è arrivata da Redmond solo tre mesi dopo (10 febbraio 2014). Nei tre Patch Tuesday successivi sono stati rilasciati diversi aggiornamenti per Internet Explorer 8, nessuno dei quali ha però risolto la falla zero-day incriminata. La policy di ZDI prevede un periodo di “silenzio” di 180 giorni, trascorsi i quali i ricercatori rendono pubblica la vulnerabilità. Dal giorno della segnalazione sono passati 4 mesi, ma nessuna patch è stata distribuita.
Probabilmente Microsoft era impegnata a tempo pieno nello sviluppo dei nuovi prodotti, in particolare Internet Explorer 11, Windows 8.1 e Windows Phone 8.1. A questo punto, si spera che la falla in IE8 venga chiusa il 10 giugno. Quanto accaduto dimostra ancora una volta il “pericolo” dei software proprietari. Le vulnerabilità scoperte in un browser open source, come Firefox, possono essere risolte più velocemente con l’aiuto della community degli sviluppatori.
Un portavoce di Microsoft ha dichiarato che non è stato rilevato nessun exploit attivo e che lo sviluppo di alcuni fix richiede un tempo maggiore, in quanto è necessario effettuare test approfonditi su differenti configurazioni. Sicuramente è vero, ma 7 mesi sembrano un po’ troppi.