Quasi contemporaneamente al rilascio di sette aggiornamenti per le varie versioni di Windows e gli altri software targati Microsoft, il colosso di Redmond si trova a doversi misurare con una nuova minaccia proveniente dal web. I tecnici di Microsoft hanno confermato che un gruppo di criminali informatici ha iniziato a far leva su una vulnerabilità sino ad oggi mai venuta a galla. L’obiettivo è, come al solito, quello di provocare l’esecuzione di codice nocivo sul sistema dell’utente non appena questi dovesse visitare una pagina web preparata con lo scopo di far leva sulla vulnerabilità. La visita dovrebbe avvenire unicamente utilizzando Internet Explorer mentre i browser concorrenti non sembrano afflitti dalla medesima falla di sicurezza. A rischio sarebbero anche gli utenti di Office 2003 e Office 2007 dal momento che l’attacco potrebbe avvenire con successo anche nel momento in cui si provasse ad aprire un documento malevolo.
Stando alle informazioni sin qui trapelate, l’attacco sfrutterebbe una variabile non correttamente inizializzata ed utilizzata da parte degli XML Core Services, componente che accomuna sia Internet Explorer che il pacchetto Office.
Il codice dannoso, qualora l’aggressore riuscisse ad eseguirlo sul sistema dell’utente, comunque, verrebbe avviato utilizzando i medesimi privilegi utente dell’account in uso. Chi è abituato ad utilizzare account non dotati di diritti amministrativi, quindi, corre minori rischi.
Confermando l’esistenza degli attacchi (ved. questa nota), Microsoft suggerisce agli utenti l’installazione di un “fix temporaneo” che può essere immediatamente prelevato da questa pagina.
Andrew Lyons, un ingegnere di Google, spiega sul blog dell’azienda che il problema era stato già segnalato a Microsoft all’incirca due settimane fa. “Microsoft ha risposto di aver preso in carico la problematica e di essere già al lavoro per risolverla“, ha aggiunto Lyons che evidenzia come la falla riguardi trasversalmente tutte le versioni di Windows, da Windows XP fino a Windows 7.