Nonostante Microsoft abbia rilasciato il nuovo browser Edge basato su Chromium (Edge Chromium in versione stabile: le principali novità), il vecchio Internet Explorer è sempre presente “dietro le quinte”.
Alcune aziende continuano tutt’oggi a utilizzarlo per questioni di compatibilità ma un problema legato alla potenziale corruzione del contenuto della memoria semplicemente visitando una pagina web suggerisce la pressante esigenza di accantonare Internet Explorer. Anche perché, come conferma Microsoft, i cui tecnici sono al momento al lavoro su una patch correttiva, i rischi consistono nell’esecuzione di codice sul sistema semplicemente visitando una pagina web malevola.
Il problema venuto a galla in Internet Explorer è molto simile – se non identico – a quello da poco risolto in Mozilla Firefox: Brutta falla di sicurezza in Firefox: permette l’accesso a varie aree del sistema. Anche perché sia Mozilla che Microsoft hanno citato Qihoo 360, azienda cinese che in entrambi i casi ha informato sulla presenza delle gravi vulnerabilità.
Il problema è che gruppi di criminali informatici stanno già sfruttando la falla insita in Internet Explorer per provocare l’esecuzione di codice in modalità remota sui sistemi degli utenti. Se è vero che sono ormai pochi a servirsi ancora di Internet Explorer, l’assenza di una patch per il browser Microsoft può essere comunque sfruttata in vari modi.
Un semplice script o processo in esecuzione in locale che provocasse l’avvio di Internet Explorer e il caricamento automatico di una pagina web dannosa potrebbe provocare l’esecuzione di codice malevolo con i privilegi utente più ampi in assoluto.
Microsoft ha confermato che il problema di sicurezza (identificativo CVE-2020-0674) riguarda le versioni di Internet Explorer installate in tutti i sistemi operativi. Al momento l’azienda non è nelle condizioni di rilasciare un aggiornamento correttivo che, presumibilmente, sarà distribuito il prossimo 11 febbraio (“patch day” del mese).
L’ente governativo USA specializzato nella gestione del tema cybersecurity ha pubblicato un’allerta formale mentre lo US-CERT propone alcuni passaggi tecnici per mitigare il problema.