L’aggiornamento MS13-008, l’ottavo del 2013, rilasciato nelle scorse ore da parte dei tecnici Microsoft è una patch “out-of-band”. Con questo appellativo si fa comunemente riferiemnto a quegli aggiornamenti di sicurezza che vengono resi disponibili in date diverse rispetto a quella scelta dal colosso di Redmond per la distribuzione delle patch destinate a Windows ed a tutte le altre sue applicazioni software (il secondo martedì di ogni mese).
La pubblicazione anticipata dell’aggiornamento MS13-008 si è resa necessaria per risolvere una pericolosa vulnerabilità individuata in Internet Explorer 6.0, 7.0 e 8.0. Allorquando un utente di una delle citate versioni di Internet Explorer si trovasse a visitare un sito web malevolo, potrebbe verificarsi – ed andare in porto – un attacco di tipo “drive-by download” (download ed installazione automatici di un file dannoso senza alcuna esplicita autorizzazione).
Ad essere interessati dal problema sono gli utenti di Windows XP e Windows Server 2003 nonché quelli di Windows Vista, Windows 7, Windows Server 2008 e 2008 R2 che non fossero passati ad una versione più recente di Internet Explorer (Internet Explorer 9.0 e 10 sono esenti dalla vulnerabilità).
La patch MS13-008, appena resa disponibile, va a correggere la medesima lacuna per la quale, ad inizio anno, Microsoft aveva rilasciato un “Fix it“, strumento utile per applicare un intervento temporaneo. Chi avesse installato tale “Fix it” (presentato nell’articolo Falla in Internet Explorer: la soluzione temporanea) è bene provveda alla sua disinstallazione prima di applicare la patch MS13-008.
L’installazione dell’aggiornamento sui sistemi vulnerabili è fortemente caldeggiata non soltanto da Microsoft ma anche dai maggiori esperti che ricordano come la falla sia già sfruttata dagli aggressore per sferrare attacchi su vasta scala. È bene che anche coloro che non usano Internet Explorer (preferendo browser “concorrenti”) provvedano ad installare le varie patch Microsoft con solerzia: l’apertura, anche accidentale, di un link facente riferimento ad una pagina web malevola con una versione obsoleta di Internet Explorer potrebbe comunque avere effetti dirompenti.
L’aggiornamento MS13-008 è in corso di distribuzione attraverso Windows Update e gli altri canali utilizzati da Microsoft per veicolare le patch di sicurezza. Una descrizione del bollettino appena diffuso è disponibile a questo indirizzo.