QR code per la pagina originale

Microsoft corregge la falla di IE (anche su XP)

Microsoft ha rilasciato le patch di sicurezza per la vulnerabilità 0day di IE. Tra i sistemi supportati, a sorpresa, anche Windows XP

,

Microsoft ha rilasciato oggi la patch di sicurezza che corregge il bug di Internet Explorer scoperto lo scorso 26 aprile. A dispetto di quanto previsto, la patch corregge il bug anche su Internet Explorer per Windows XP, nonostante il supporto per il sistema operativo sia definitivamente scaduto lo scorso 8 aprile.

L’annuncio, visto anche il clamore suscitato dal problema, è stato dato dal capo del team di sicurezza di Microsoft, Adrienne Hall, sul blog ufficiale dell’azienda. La Hall, oltre a giustificare l’estensione delle correzioni anche a Windows XP con “la vicinanza alla fine del supporto per Windows XP”, ha anche affermato che le preoccupazioni riguardanti la vulnerabilità sono state “eccessive”, definendole “un segno dei tempi”. Secondo Microsoft, il numero degli attacchi che hanno sfruttato la vulnerabilità è “limitato”.

La patch corregge le vulnerabilità di diverse versioni di Internet Explorer (dalla 6 alla 11) su diversi sistemi operativi (da Windows XP a Windows 8, compresi i sistemi server). Sarà installata automaticamente in quei sistemi che hanno attivati gli aggiornamenti automatici e può essere scaricata utilizzando il servizio Microsoft Windows Update oppure come file singolo per il proprio sistema operativo a partire dal bollettino di sicurezza MS14-021.

La vulnerabilità, giudicata da Microsoft critica su tutti i sistemi client e moderata sui sistemi server, è un classico Remote Code Execution e avrebbe permesso ad utenti malintenzionati di eseguire azioni nocive sul sistema semplicemente facendo visualizzare agli utenti una pagina appositamente progettata per sfruttare l’errore.

Il fatto che diversi governi abbiano suggerito di non usare Internet Explorer, l’ampiezza della base vulnerabile – circa il 26 per cento dei browser disponibili sul mercato – e il fatto che fosse già sfruttata in alcuni exploit (come ha indicato FireEye, che per prima ha divulgato il problema) ha costretto Microsoft a derogare, oltre che alla fine del supporto per XP, anche al classico rilascio dei bollettini il secondo martedì del mese, come già era accaduto in alcuni casi nel passato.