Microsoft pubblica il "Fix it" per IE9 e IE10

Microsoft ha rilasciato un workaround temporaneo per la falla zero-day scoperta in Internet Explorer 9 e 10 dai FireEye Labs. La soluzione Fix it è quindi solo provvisoria e non sostituisce nessun aggiornamento di sicurezza. La patch definitiva verrà distribuita martedì 11 marzo, ma l’azienda di Redmond potrebbe anticipare la data nel caso in cui aumenti la diffusione dell’exploit. Gli utenti che usano Windows 7 e Windows 8.1 dovrebbero installare Internet Explorer 11 per avere la migliore protezione.

La vulnerabilità è stata scoperta per la prima volta sul sito Veterans of Foreign Wars negli Stati Uniti. L’attacco di tipo drive-by-download viene eseguito quando l’utente visita un sito compromesso con Internet Explorer 9 o Internet Explorer 10, su quali è installato il plugin Flash Player. I malintenzionati possono così eseguire codice remoto all’interno del browser, in quanto IE effettua l’accesso ad un oggetto in memoria che è stato cancellato o non propriamente allocato. L’exploit riesce ad eludere la protezione offerta dalla ASLR (Address Space Layout Randomization) e dalla DEP (Data Execution Prevention) integrate nei sistemi operativi Windows.

Microsoft consiglia di installare il Fix it solo dopo aver aggiornato i due browser, scaricando la patch MS14-010 da Windows Update. Il workaround sostituisce il file mshtml.dll con una nuova versione. In alternativa viene suggerito di usare Internet Explorer 11 per Windows 7 e Windows 8.1. Sebbene la vulnerabilità sia presente anche in IE9, attualmente solo IE10 è sotto attacco.