Microsoft, stasera la patch per Internet Explorer

Microsoft ha deciso di rilasciare una patch out-of-band, ovvero prima del tradizionale appuntamento mensile, con la quale verrà risolta la vulnerabilità scoperta a fine dicembre nelle versioni più vecchie di Internet Explorer. Al bollettino di questa sera è stato assegnato il massimo livello di severità (critico), in quanto il bug di sicurezza potrebbe essere sfruttato per eseguire codice remoto sul computer dell’utente.

In attesa di sviluppare una patch definitiva, Microsoft aveva pubblicato un Fix It, ma i ricercatori di Exodus Intelligence hanno dimostrato che questa soluzione provvisoria non garantisce una sufficiente protezione, in quanto è semplice per un esperto realizzare una variante dell’exploit e infettare il sistema. L’azienda di Redmond ha spiegato in dettaglio il problema di sicurezza:

Tale vulnerabilità è legata all’esecuzione di codice in modalità remota nel modo in cui Internet Explorer accede a un oggetto nella memoria che è stato cancellato o non è stato allocato correttamente. La vulnerabilità potrebbe corrompere la memoria in modo da consentire ad un malintenzionato di eseguire codice arbitrario nel contesto dell’utente attuale in Internet Explorer. Un malintenzionato potrebbe realizzare un sito Web apposito per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzarlo.

La patch verrà rilasciata intorno alle 19 (ora italiana) e riguarderà Internet Explorer 6/7/8. Microsoft consiglia giustamente di installare le ultime versioni del browser. Purtroppo ci sono molti utenti (e molte aziende) che utilizzano ancora Windows XP. Internet Explorer 9 e 10 sono compatibili solo con Windows 7 e 8.