Falla zero-day in IE10, arriva la patch definitiva

Microsoft ha pubblicato l’elenco degli aggiornamenti che verranno rilasciati martedì 11 marzo. La settimana prossima, gli utenti troveranno su Windows Update cinque patch, due critiche e tre importanti, che risolvono vulnerabilità in Windows, Internet Explorer e Silverlight. La massima priorità è stata assegnata al bollettino 1 relativo alla falla zero-day scoperta a metà febbraio in Internet Explorer 9 e 10, per la quale Microsoft aveva distribuito un Fix it temporaneo.

La tornata di patch programmata per martedì è interessante anche per un altro aspetto. Su cinque aggiornamenti di sicurezza, ben quattro sono per Windows XP. Il vecchio sistema operativo, ancora piuttosto diffuso, verrà definitivamente abbandonato il prossimo 8 aprile. Dopo quella data, Microsoft non rilascerà più patch. Gli utenti dovrebbero quindi effettuare l’upgrade a Windows 7 o Windows 8.1 per non diventare il bersaglio dei malintenzionati. La patch per Internet Explorer interessa anche gli utenti Windows XP, in quanto corregge vulnerabilità nelle versioni 6, 7 e 8 del browser.

I FireEye Labs hanno scoperto un exploit che sfrutta la falla zero-day sul sito Veterans of Foreign Wars negli Stati Uniti. Un altro exploit è stato scoperto da Websense sul sito della GIFAS (Groupement des Industries Francaises Aeronautiques et Spatiales). Sebbene Microsoft sostenga che gli attacchi siano limitati, Symantec ha rilevato che il loro numero è in aumento. La patch critica è indirizzata a tutte le versioni di Internet Explorer, da IE6 su Windows XP a IE11 su Windows 8.1.

I rimanenti bollettini riguardano quasi tutte le edizioni di Windows, mentre l’ultimo è relativo a Silverlight 5, l’ultima versione del plugin multimediale sviluppata da Microsoft.