E’ ufficiale. Microsoft ha deciso di rilasciare, a breve termine, un aggiornamento risolutivo per sanare la falla insita in Internet Explorer che tanto clamore ha suscitato nei giorni scorsi. Il bollettino dovrebbe essere quindi pubblicato con largo anticipo rispetto al “patch day” fissato per il prossimo 9 febbraio.
Voci di corridoio fanno riferimento ad un rilascio della patch per Internet Explorer entro la fine della settimana. Oggi, tuttavia, dovrebbe essere comunicata la tempistica definitiva da parte di Microsoft.
Secondo i responsabili del colosso di Redmond gli unici utenti potenzialmente a rischio sono, allo stato attuale, coloro che utilizzano Internet Explorer 6.0 sui sistemi Windows 2000 e Windows XP. Microsoft ricorda che Internet Explorer 8.0, grazie all’attivazione di default della funzionalità DEP (Data Execution Prevention), permette di evitare l’esposizione a qualunque rischio.
L’esperto di sicurezza informatica Dino Dai Zovi ha tuttavia affermato di aver messo a punto un exploit in grado di sfruttare la vulnerabilità di recente scoperta anche sui sistemi Windows Vista che impiegano Internet Explorer 7.0. I francesi di Vupen, inoltre, hanno dichiarato di aver sviluppato un codice exploit capace di funzionare su Internet Explorer 8.0, anche quando la funzionalità DEP risulti abilitata. L’unica soluzione per scongiurare l’esecuzione di codice dannoso, stando a Vupen, consisterebbe nella disabilitazione del codice JavaScript.
DEP è una funzionalità di sicurezza che Microsoft ha integrato nelle più moderne versioni del sistema operativo: essa mira ad impedire che un’applicazione od un servizio possano avviare del codice da regioni della memoria ospitanti codice che non dovrebbe essere eseguibile. La funzionalità si prefigge di prevenire attacchi sferrati, ad esempio, ricorrendo alla tecnica del “buffer overflow”.