Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 7, Internet Explorer 8. Sebbene la patch out-of-cycle prevista per oggi fosse stata annunciata per risolvere principalmente una vulnerabilità delle versioni 6 e 7 del browser, in realtà il pacchetto in distribuzione consta di un aggiornamento cumulativo che va a coinvolgere tutte le versioni del browser. La presenza di una soluzione per una vulnerabilità zero-day particolarmente critica consiglia un immediato update del browser, ma in ogni caso la patch verrà riproposta in occasione dell’aggiornamento mensile di Aprile previsto per Martedì 13.
10 le vulnerabilità risolte nel browser di Redmond. Quella principale è quella indicata come CVE-2010-0267, il cui specifico exploit sarebbe già stato utilizzato per un crescente numero di attacchi. L’exploit è il motivo primo dell’urgenza della patch: alla luce di una situazione che avrebbe potuto andare entro breve fuori controllo, Microsoft ha voluto anticipare i tempi e distribuire l’aggiornamento MS10-018 con effetto immediato. Seguendo poi una strategia di vecchia data, il gruppo ha voluto mettere tutte assieme le patch relative al browser, risolvendo così in un colpo solo più problemi di vecchia data. L’importanza dell’aggiornamento è dovuta pertanto alla somma di questi due fattori.
“Memory corruption”: gli attacchi remoti resi possibili dalle vulnerabilità riscontrate in Internet Explorer hanno tutte un fattore comune nel modo in cui un malintenzionato è in grado di accedere al sistema installando programmi, accedendo ai dati e manomettendo gli stessi. Gli scenari di attacco sono vari, ed in generale la semplice visita ad una pagina web appositamente sviluppata è in grado di generare le condizioni sufficienti per colpire il browser ed entrare in possesso dei privilegi per accedere ai file della vittima.
La patch MS10-018 può essere scaricata manualmente o installata tramite Windows Update (l’aggiornamento è già in distribuzione). Microsoft giudica la patch come “critica”, ovvero al massimo grado di importanza nella scala di valori utilizzata dal gruppo. Per gli utenti utilizzanti Internet Explorer 8 si consiglia immediato update; per gli utenti utilizzanti le versioni precedenti del browser, invece, v’è una doppia possibilità: scaricare ed installare la patch, oppure passare immediatamente ad IE8 approfittando delle maggiori misure di sicurezza presenti nell’ultima versione del browser.