Lo scorso mese di gennaio è stata individuata una vulnerabilità presente nel gestore del protocollo MHTML. Il bug, che colpisce tutte le versioni di Windows, consente ad un malintenzionato di eseguire codice arbitrario sul computer dell’utente che accede ad un sito costruito appositamente.
MHTML è un formato supportato nativamente da Internet Explorer ed è un contenitore utilizzato per salvare un’intera pagina web in un unico file. Anche Internet Explorer 9 può quindi essere utilizzato come vettore di attacco.
Finora Microsoft non ha pubblicato una patch risolutiva, ma solo consigliato dei rimedi provvisori o delle azioni che possono mitigare il problema. Pochi giorni fa, l’azienda di Redmond ha aggiornato il bollettino di sicurezza, confermando che sono stati individuati i primi exploit che sfruttano questa vulnerabilità.
Anche il team di Google che si occupa della sicurezza ha pubblicato un post sul suo blog, dichiarando che si tratta di un attacco specifico contro i loro utenti e contro gli utenti di un altro popolare sito sociale.
Per il prossimo patch day bisognerà aspettare fino al 12 aprile, a meno che Microsoft non decida di rilasciare una patch in anticipo. Nel frattempo, si consiglia di installare il Fix It o passare ad un altro browser (ad esempio, Firefox o Chrome) che non supporta MHTML.