Confermata la presenza di una vulnerabilità particolarmente grave, in tutte le versioni di Internet Explorer (6.0, 7.0 e 8.0) che potrebbe avere – come spiacevole conseguenza – l’esecuzione di codice potenzialmente dannoso. L’evento potrebbe verificarsi nel momento in cui l’utente dovesse trovarsi a visitare una pagina web preparata da parte di un aggressore con lo specifico intento di far leva sulla vulnerabilità non ancora sanata.
Microsoft ha per il momento voluto ridimensionare l’entità della problematica riferendo di aver rilevato soltanto un numero “estremamente limitato” di attacchi. “Le aggressioni, inoltre, sembrano concentrarsi solo su Internet Explorer 6 e non abbiamo rilevato alcun attacco andato a buon fine su Internet Explorer 8“, hanno commentato Andrew Roths, Jonathan Ness e Chengyun Chu, tre ingegneri del “Microsoft Security Response Center“.
Il bug di sicurezza riguarda l’imperfetta gestione dei fogli di stile (CSS) da parte del browser e, pur interessando le tre versioni di Internet Explorer, gli utenti di IE8 sono meno esposti a rischi dal momento che il prodotto integra di default l’impiego della funzionalità DEP. “Data Execution Prevention” (DEP) è un meccanismo di protezione (del quale abbiamo ampiamente parlato) in grado di marcare tutte le locazioni di memoria associate ad un determinato processo come non eseguibili a meno che le stesse celle non contengano codice. Qualora si tenti di accedere ad una cella di memoria “dati”, l’operazione verrà bloccata sollevando un’eccezione (status access violation) quindi DEP provvederà a terminare il processo “incriminato”.
Sintanto che non verrà rilasciata una patch correttiva, Microsoft suggerisce agli utenti di Internet Explorer (in particolare quelli di IE6 e di IE7) di applicare alcuni workaround, illustrati in questo documento. La soluzione migliore, comunque, sarebbe quella di abbandonare definitivamente prodotti ormai vetusti quali IE6 ed IE7: Microsoft sta cercando da tempo di “affossare” le versioni più obsolete dei suoi browser che di solito sono foriere dei maggiori rischi per l’utenza.
Tra le “soluzioni temporanee” fornite da Microsoft nel suo “advisory” vi è l’implementazione di un foglio di stile (CSS) personalizzato in grado di “scavalcare” le specifiche impostazioni richieste dai siti web; la configurazione di EMET 2.0 (anche questo articolo); l’abilitazione della funzionalità DEP in IE7; la regolazione del livello di sicurezza del browser (finestra delle opzioni) su “Alto“.
Symantec ha già rilevato un primo tentativo di aggressione apparso sotto forma di messaggi di posta elettronica non richiesti (spam). All’interno di tali e-mail i malintenzionati inserivano un link facente riferimento alla pagina web dannosa. Nel corpo del messaggio veniva confermata la fasulla prenotazione di camere presso una struttura alberghiera.
La “beta 1” di Internet Explorer 9.0 non è risultata affetta dal problema.