Microsoft ha rilasciato un “Fix it” che consente di sanare in via temporanea, sintanto che i tecnici della società non rilasceranno patch ufficiale, una pericolosa vulnerabilità scoperta a fine anno nelle versioni più datate di Internet Explorer. L’installazione del “Fix it” viene caldamente consigliata dal momento che la falla di sicurezza sarebbe già sfruttata per condurre attacchi mirati. Ad essere interessati dalla problematica sono tutti gli utenti di Windows che utilizzano Internet Explorer 6.0, Internet Explorer 7.0 oppure Internet Explorer 8.0.
La lacuna di sicurezza può essere utilizzata per eseguire codice dannoso superando le principali linee di difesa del sistema operativo. Come spiegano Cristian Craioveanu e Jonathan Ness, ingegneri di Microsoft, tutti gli attacchi al momento in circolazione sfruttano codice Javascript offuscato per far leva sulla vulnerabilità, impiegano codice Flash ActionScript, utilizzano una libreria di Java 6 oppure una DLL di Office 2007/2010 per “dribblare” la protezione offerta dalla funzionalità ASLR e tentano anche di scavalcare la protezione DEP (vedere questi articoli).
La falla può essere sfruttata, da parte di un aggressore, per provocare un attacco “drive-by download“: basta visitare un sito web dannoso con una versione insicura di Internet Explorer per vedere infettato il proprio sistema.
Il “Fix it” appena distribuito dai tecnici di Microsoft è scaricabile facendo riferimento a questa pagina. Non appena il colosso di Redmond rilascerà una patch definitiva, prima di procedere alla sua installazione, si dovrà preventivamente disinstallare il “Fix it“.