Con un bollettino pubblicato sul suo sito web (ved. questa pagina), Microsoft ha voluto far chiarezza in merito alla posizione dell’azienda circa l’ultima grave falla di sicurezza scoperta in Internet Explorer nei giorni scorsi.
Il problema è particolarmente serio perché il codice exploit per sfruttare la falla è stato reso pubblico.
La vulnerabilità è causata da un bug nella chiamata della funzione createTextRange()
associata a un oggetto di tipo checkbox. Una pagina Web contenente elementi confezionati ad hoc per sfruttare questa falla potrebbero usare l’istruzione createTextRange() per forzare un errore nella libreria dinamica e aprire di fatto l’intero sistema operativo ad attacchi di aggressori remoti (download di virus, spyware e malware in generale).
La falla è stata confermata in Internet Explorer 6 con Windows XP SP2. Anche la versione 7 beta è affetta dallo stesso problema.
Mike Reavey – Lead Security Program Manager del Microsoft Security Response Center – con una nota pubblicata sul blog ufficiale di MSRC ha puntualizzato che l’azienda non ha ad oggi rilevato un numero significativo di attacchi tesi a sfruttare il problema di sicurezza di Internet Explorer. Piuttosto, il colosso di Redmond sembra si stia muovendo soprattutto in sede legale per determinare rapidamente la chiusura dei siti web che diffondono codice nocivo.
Reavey consiglia comunque di mantenere aggiornati i software antivirus in uso mentre Microsoft prosegue nell’elaborazione di una patch correttiva per il problema che, però, non dovrebbe essere rilasciata prima dell’11 Aprile prossimo – secondo Martedì del mese -. Reavey soggiunge anche di essere a conoscenza di patch, sviluppate da terze parti, che offrono una prima soluzione al problema modificando il comportamento di alcuni aspetti chiave del sistema operativo. Egli ne sconsiglia però l’installazione rimarcando come sia solo l’azienda di Redmond ad effettuare test specifici e come non possa essere garantito il funzionamento corretto di aggiornamenti non ufficiali che fanno leva su funzionalità operative del sistema.
Da parte sua, eEye – azienda da tempo attiva nel campo della sicurezza informatica – lancia dure critiche a Microsoft attraverso le parole del portavoce Marc Maiffret, co-fondatore della società, sottolineando come la gravità della vulnerabilità di sicurezza sia stata sottovalutata e come i rischi da essi derivanti non possano essere considerati solamente come “limitati”.
eEye ha messo pubblicamente a disposizione una patch temporanea per il problema di sicurezza di Internet Explorer in questa pagina.
Anche Determina ha rilasciato un aggiornamento correttivo similare, prelevabile facendo riferimento al sito web dell’azienda.
Disponibili patch non ufficiali per Internet Explorer
Con un bollettino pubblicato sul suo sito web (ved. questa pagina), Microsoft ha voluto far chiarezza in merito alla posizione dell'azienda circa l'ultima grave falla di sicurezza scoperta in Internet Explorer nei giorni scorsi.