Bug IE, la patch provvisioria non è sicura

Alla fine di dicembre è stata scoperta una vulnerabilità zero-day nelle versioni più vecchie di Internet Explorer. Microsoft ha rilasciato una patch provvisoria (Fix It), in attesa di un update definitivo che quasi certamente non verrà distribuito domani sera, quando saranno disponibili i primi sette bollettini di sicurezza del 2013. I ricercatori di Exodus Intelligence sono però riusciti ad aggirare il Fix It e realizzare un exploit funzionante.

Fortunatamente l’azienda non ha rilasciato il codice pubblicamente, ma ha comunicato i dettagli ai suoi clienti e informato Microsoft. Exodus Intelligence ha impiegato meno di un giorno per superare la protezione del workaround temporaneo sviluppato dall’azienda di Redmond. È stato sufficiente eseguire il reverse engineering della patch per scoprire il suo funzionamento e per bypassare il fix, riuscendo ad infettare un sistema aggiornato con una variante dell’exploit.

La vulnerabilità zero-day è stata inizialmente sfruttata dai malintenzionati dopo aver infettato il sito del Council on Foreign Relations, ma il numero dei siti colpiti è in costante aumento. Microsoft ha pubblicato un security advisory con il quale spiega in dettaglio la falla e come evitare temporaneamente l’esecuzione di codice arbitrario in Internet Explorer 6, 7 e 8. L’azienda di Redmond consiglia di applicare il Fix It, ma ora questa soluzione non offre più una protezione affidabile.

Gli utilizzatori di IE9/10 non corrono nessun pericolo, mentre gli utenti di Windows XP sono a rischio dato che non è possibile installare le versioni recenti del browser sul vecchio sistema operativo. In attesa di una patch definitiva (o di un nuovo Fix It), è consigliabile utilizzare un browser alternativo.