Microsoft aggiorna Internet Explorer out-of-cycle

Microsoft ha annunciato di aver intrapreso la decisione di aggiornare Internet Explorer in anticipo rispetto al tradizionale aggiornamento mensile. L’intervento, qualcosa di eccezionale all’interno della policy di aggiornamento del gruppo, giunge per porre fine ad una situazione a cui Microsoft sta cercando di porre una pezza in ogni modo. Tutto nasce dall’attacco denunciato da Google in territorio cinese, il cui veicolo sarebbe stato in una vulnerabilità in Internet Explorer 6 (verificata in seguito anche nelle versioni 7 ed 8 del browser).

Microsoft ha smontato con forza i falsi messaggi circolati nel momento in cui Internet Explorer è stato classificato come il male assoluto nel mondo della sicurezza online. Il problema, infatti, è stato giudicato grave soltanto nella versione 6 del browser su Windows XP, mentre per la 7 e la 8 ogni rischio sarebbe teoricamente limitato dalle maggiori protezioni previste dai nuovi sistemi operativi Windows Vista e Windows 7. Microsoft ha pertanto consigliato all’utenza il passaggio all’ultima versione del browser, il che rimane ad oggi la migliore soluzione (in parallelo alla scelta di browser rivali quali Firefox, Chrome o altri).

Il team per la sicurezza dei prodotti Microsoft ha infine comunicato di voler agire proattivamente per risolvere il problema emerso. Il gruppo spiega che, nonostante l’exploit sia attualmente pubblico, il numero degli attacchi verificato sarebbe estremamente basso, situazione che in condizioni normali non autorizzerebbe un aggiornamento anticipato rispetto al ciclo mensile. L’eccezionalità del momento, però, ha maturato condizioni differenti. Senza indicare il giorno di distribuzione della patch, quindi, Microsoft ha ufficializzato la prossima disponibilità di un aggiornamento per il browser in grado di porre una pezza alla vulnerabilità più nota del momento.

Sebbene Microsoft indichi in IE7 e IE8 sui nuovi sistemi operativi la migliore delle protezioni per l’utenza, un nuovo allarme firmato Vupen Security sembra smontare le certezze indicate attorno alla tecnologia DEP (Data Execution Prevention). Il consiglio diramato, a tal proposito, è quello di disabilitare Javascript in attesa di una patch, poiché la tecnologia DEP sarebbe aggirabile rendendo pertanto l’exploit eseguibile con danno anche con le nuove versioni del browser.

Il prossimo aggiornamento mensile di sicurezza in linea con la scaletta degli aggiornamenti mensili è previsto per Martedì 9 Febbraio. La patch anticipata, pertanto, sarà distribuito presumibilmente entro la fine di Gennaio. George Stathakopoulos, General Manager per la Trustworthy Computing Security del gruppo di Redmond, non cela un certo fastidio nella propria comunicazione relativa alla patch: l’urgenza dell’aggiornamento, infatti, non è dettata tanto dal rischio imminente (contro il quale Germania e Francia hanno diramato addirittura un avviso ad hoc con forte eco mediatica), quanto più dal moltiplicarsi delle voci negative che hanno circondato Internet Explorer).

Attorno all’affair Google si sono già sovrapposte versioni e indicazioni differenti. Il veicolo dell’attacco era stato inizialmente identificato in Adobe Reader, quindi McAfee ha dimostrato come il problema si annidasse invece in IE6. Ora dall’India si torna a colpevolizzare Adobe, mentre Google starebbe cercando un traditore interno che avrebbe facilitato le incursioni registrate. Microsoft intende uscire quanto prima dalla situazione: Ballmer ha negato qualsivoglia ritorsione nei confronti delle autorità cinesi e, nel frattempo, il suo team sta lavorando per risolvere la falla nel minor tempo possibile.