Internet Explorer, falla zero day sul browser e Microsoft corre ai ripari

Microsoft scopre una falla in IE e lavora a una patch. Nel frattempo distribuisce un tool per chi è spaventato. La falla è difficile da sfruttare, ma è zero day e quindi pericolosa.

Microsoft sta ancora investigando il problema rilevato in tutte le versioni del suo sistema operativo Internet Explorer, ma ha già fatto in modo di comunicare una patch d’emergenza per quella che si è rivelata una falla piuttosto grave.

La compagnia ha trovato quella che in gergo si definisce una falla Zero Day, ovverosia un problema fino ad oggi sconosciuto. Lavorare ad una patch per questo genere di falla può essere problematico, ma Microsoft ha risposto alla minaccia con un fix temporaneo.

Installazione remota di malware



L’allarme è stato diramato da Microsoft stessa, probabilmente allertata da qualche hacker White Hat. La notizia è resa ancora più minacciosa dalla constatazione della corporation che tale falla è stata già probabilmente già sfruttata - anche se si tratta di illazioni, a questo punto.

Per usare le parole di Redmond, la vulnerabilità consente un “numero limitato” di possibili attacchi contro IE 8 e IE 9, anche se potrebbe essere ugualmente pericolosa per tutte le altre versioni del browser.

“Questo problema potrebbe consentire l’esecuzione in remoto di codice malevolo se un sistema bersaglio visita un sito web che contiene contenuti malware diretti allo specifico tipo di browser vulnerabile. Questo scenario prende forma quando l’hacker compromette la sicurezza di un sito web che la vittima ritiene affidabile e frequenta regolarmente, oppure quando convince detta vittima a cliccare su un link contenuto in una mail o messaggio. Usare versioni aggiornate di IE assicura che l’utente possa ricevere il beneficio di feature di sicurezza che possono impedire questo genere di attacchi.”


Queste sono le parole di Dustin Childs, manager e portavoce del gruppo Microsoft Trustworthy Computing. Come potrete intuire, il linguaggio fiorito nasconde il fatto che sebbene l’attacco sia difficile da portare a termine, neppure un browser aggiornato ne è immune.

Per chi fosse davvero preoccupato da questa falla, Microsoft ha creato un tool “Fix-it” battezzato ”CVE-2013-3893 MSHTML Shim Workaround”. Va specificamente scaricato e usato, mentre la patch ufficiale, disponibile a ore o giorni, sarà distribuita automaticamente a tutti gli utenti.

  • shares
  • +1
  • Mail