Non appena è stata scoperta, è stata subito presa di mira. Si tratta di una pericolosa vulnerabilità “zero day” individuata in Internet Explorer 7.0, 8.0 e 9.0 che può portare all’esecuzione di codice nocivo semplicemente visitando una pagina web malevola. A confermare l’esistenza della falla è Rapid7, l’azienda che si occupa dello sviluppo e dell’aggiornamento di Metasploit, famoso software per il penetration testing (consente di mettere a nudo eventuali falle di sicurezza). Alcuni portavoce della società hanno spiegato che il problema di Internet Explorer può essere sfruttato indipendentemente dalla versione di Windows in uso: potenzialmente a rischio, quindi, sono gli utenti di Windows XP, Windows Vista e Windows 7.
HD Moore, celebre esperto in materia di sicurezza, ha spiegato che la vulnerabilità venuta a galla in Internet Explorer espone al rischio più che concreto di attacchi “drive-by“. Essi vengono generalmente utilizzati per provocare il download automatico e l’esecuzione di codice dannoso sfruttando vulnerabilità non sanate dall’utente mediante l’installazione delle varie patch di sicurezza. In questo caso, la situazione è più complessa proprio perché ancora non esiste un aggiornamento di sicurezza che consenta di evitare il pericolo trattandosi di una lacuna “zero day“.
Con l’espressione “zero day” vengono comunemente definiti gli attacchi informatici che hanno inizio “nel giorno zero” ossia dal momento in cui è scoperta una falla di sicurezza in un programma specifico. Questo tipo di aggressioni, se ben studiate, possono mietere molte vittime proprio poiché il produttore dell’applicazione vulnerabile non ha evidentemente ancora avuto il tempo di rilasciare una patch correttiva. Internet Explorer, inoltre, resta al momento il browser web più utilizzato: secondo le ultime statistiche elaborate da NetApplications, il “navigatore” Microsoft deterrebbe ancora il 48,75% del mercato (il dato si riferisce a tutte le versioni del programma).
Microsoft ha confermato di essere informata sulla criticità di Internet Explorer non offrendo però indicazioni sulla possibile data di rilascio della patch risolutiva. I tecnici del colosso di Redmond hanno chiarito che Internet Explorer 10, la versione del browser integrata in Windows 8, non è afflitta dal medesimo problema.