Microsoft si rifiuta di rilasciare una patch per Internet Explorer 11 e HP pubblica il codice che permette di sfruttare una vulnerabilità del browser. Si può riassumere così la vicenda che vede coinvolte le due aziende e che ha avuto origine circa quattro mesi fa. Anche se apparentemente può sembrare un dispetto, il comportamento di HP è corretto, in quanto gli utenti devono essere informati sui rischi derivanti dall’uso di un software non sicuro.
La storia inizia a febbraio, quando i membri del team ZDI (Zero Day Initiative) hanno vinto il premio da 125.000 dollari messo in palio da Microsoft con il programma Mitigation Bypass Bounty and Blue Hat Bonus for Defense. I ricercatori di HP avevano scoperto una grave vulnerabilità nella versione a 32 bit di Internet Explorer 11 che consente di superare le difese della protezione ASLR (Address Space Layout Randomization). Microsoft è stata informata del problema, ma finora non ha distribuito nessuna patch. Pertanto, HP ha deciso di pubblicare i dettagli della vulnerabilità e il codice del proof-of-concept che consente di eseguire attacchi contro Windows 7 e Windows 8.1.
L’azienda di Redmond ha dichiarato che ASLR offre una maggiore protezione con la versione a 64 bit di Internet Explorer 11. Inoltre, la tecnologia MemoryProtect introdotta un anno fa riduce notevolmente le probabilità di subire un attacco che sfrutta la vulnerabilità. HP ritiene però che le giustificazioni di Microsoft non siano sufficienti. In tutto il mondo ci sono milioni di PC con Windows a 32 bit e la MemoryProtect non azzera completamente i rischi.
In attesa della patch per Internet Explorer 11 (se Microsoft cambierà idea), l’unica soluzione è utilizzare un browser alternativo, come Firefox o Chrome.