Una falla zero-day è stata rintracciata in Internet Explorer 9: a scoprire la vulnerabilità dell’ultima versione del browser Microsoft è stata la società francese di sicurezza Vupen, che ha subito lanciato l’allarme segnalando la possibilità da parte di malintenzionati di sfruttare tale falla per eseguire codice sulle macchine di ignari malcapitati.
Il sistema operativo principalmente coinvolto è Windows 7, anche nelle versioni con Service Pack 1 installato. Aggirando tutti i meccanismi di sicurezza posti da Microsoft come scudo tra l’utente e la Rete, quali ad esempio ASLR, DEP e la modalità protetta da sandbox di IE9, l’exploit individuato è in grado di sfruttare due diverse vulnerabilità: la prima permette di eseguire qualsiasi riga di codice all’interno della sandbox, la seconda invece crea un buco verso l’esterno attraverso il quale l’attacco arriva al cuore del sistema operativo.
Secondo quanto reso noto da Vupen, il rischio di incappare in un aggressione basata proprio su tale bug è reale, nonostante l’exploit sia stato realizzato nei laboratori della società e messo a disposizione esclusivamente di enti governativi e aziendali cui Vupen fornisce assistenza per le relative infrastrutture informatiche. Sebbene in tali ambienti Internet Explorer 9 non sia ampiamente diffuso, la falla in questione è presente anche in tutte le edizioni del browser fino alla 6.
Il consiglio della società è quello di disabilitare momentaneamente JavaScript, essendo il problema principalmente nella libreria di sistema mshtml.dll, che si occupa di gestire file HTML contenenti codice JS. Una soluzione alternativa suggerita dallo stesso gruppo è un cambio di browser, così da poter navigare in Rete utilizzando JavaScript ma senza incorrere in tale problema. Per le prossime settimane è attesa una risposta da parte di Microsoft, chiamata a fornire un rimedio entro breve tempo data l’importanza della vulnerabilità.
Il prossimo patch day è però previsto già per i prossimi giorni ed entro domani saranno fornite le prime informazioni relative alle patch in distribuzione: la vulnerabilità scoperta da Vupen non sarà sicuramente coinvolta dall’aggiornamento mensile di aprile.