Il bollettino Secunia SA21989 è chiaro: la nuova falla scoperta nel browser Internet Explorer è di gravità estrema, ovvero il massimo grado di pericolosità della scala adoperata dal gruppo. Il problema è stato identificato nel processo dei documenti VML (Vector Markup Language) ove una stringa eccessivamente lunga nel tag “rect” è in grado di consegnare il sistema nelle mani di utenti in remoto.
L’aspetto più preoccupante della vicenda è l’assenza di una patch ma la presenza di un exploit pubblico: ancora una volta per Microsoft non resta altro consiglio se non la disattivazione degli Active Scripting. Explorer 6.0 su XP SP2 risulta vulnerabile, il che impedisce un qualsivoglia upgrade salvifico all’utenza informata. Alternativamente, il passaggio al browser Firefox rappresenta al momento la soluzione migliore.
Non è il primo problema del genere per Microsoft nelle ultime settimane (una falla di analoga pericolosità in IE è stata scoperta solo pochi giorni fa) e ciò rappresenta un pericolo ulteriore alla luce del tempo che manca ancora prima dell’aggiornamento di sicurezza di Ottobre. Al momento le minacce sono rimaste teoriche senza mai sfociare in un worm di reale pericolosità, ma in assenza di soluzioni definitive la situazione di stallo non è destinata a durare troppo. Nel frattempo i tempi per la distribuzione ufficiale di Internet Explorer 7 non dovrebbero più essere lunghi, e solo il passaggio alla nuova release potrà presumibilmente alleggerire il peso della sicurezza su un browser che negli ultimi anni ha rappresentato in assoluto il maggior pericolo per l’ecosistema Windows.