Sarebbero già migliaia i siti web che ospitano il codice nocivo in grado di sfruttare una pericolosa vulnerabilità scoperta in Internet Explorer e non ancora risolta mediante il rilascio di una patch. Il codice exploit in grado di far leva sulla falla di sicurezza, ormai ampiamente diffusosi in Rete, può avere come conseguenza l’esecuzione di malware sul sistema dell’utente che visiti, con Internet Explorer, un sito web “maligno”. Tale sito può essere preparato allo scopo da un aggressore oppure potrebbe essere stato violato mediante un attacco di tipo “SQL injection”: sfruttando una vulnerabilità insita nell’applicazione web usata dal sito, il malintenzionato potrebbe essere riuscito ad inserire nel database o nelle pagine web il codice nocivo.
L’exploit sfrutta una lacuna, del browser di Microsoft, nella gestione del “DCOM Data Binding“.
Come spiega Marco Giuliani, Prevx Malware Analyst “l’errore è stato identificato in uno use-after-free, cioè l’utilizzo di una o più determinate zone di memoria dopo che queste siano state deallocate e non più utilizzate. Solitamente questo errore consiste nel lasciar puntare ad uno o più puntatori – che inizialmente puntano ad determinata una zona di memoria allocata – ancora la stessa zona di memoria dopo che questa sia stata liberata. Di conseguenza, si rischia la sovrascrittura di dati importanti – se la zona di memoria in questione è stata già riutilizzata – con la conseguenza di possibili crash, sino anche alla possibile esecuzione di codice malevolo“.
Tutti i codici maligni diffusi in Rete colpiscono esclusivamente Internet Explorer 7, sebbene Microsoft stessa abbia confermato come le precedenti versioni del browser non siano esenti dal problema.
Vista la gravità della problematica, il colosso di Redmond ha ufficialmente annunciato che quest’oggi, 17 Dicembre, provvederà a rilasciare una patch risolutiva per correggere la vulnerabilità scoperta in Internet Explorer.
La patch, che dovrebbe essere rilasciata quando in Italia saranno all’incirca le 19, dovrebbe essere veicolata attraverso un nuovo bollettino (MS08-078).
Anche questo mese, come successe ad Ottobre con la distribuzione della patch MS08-067, Microsoft è stata quindi costretta a rilasciare un aggiornamento urgente a distanza di una settimana dal “patch day” fissato per ogni secondo martedì.