A conferma della gravità della problematica appena emersa, Microsoft ha deciso di rilasciare un aggiornamento out-of-band per Internet Explorer, il browser web presente in tutte le versioni di Windows, Windows 10 compreso.
“Ma io non uso Internet Explorer“, diranno subito molti di voi. È vero, ma il fatto che Internet Explorer sia ancora presente sul sistema significa che i suoi componenti e il suo storico motore di rendering – Trident o MSHTML – sono ancora pienamente utilizzabili.
Il team di Google Threat Analysis Group ha scoperto che una lacuna di sicurezza critica presente in Internet Explorer è utilizzata per sferrare attacchi mirati, anche verso obiettivi di elevato calibro (aziende, enti pubblici e governativi).
Come rivela Microsoft nel bollettino di sicurezza appena pubblicato, la falla di Internet Explorer in questione può portare all’esecuzione di codice arbitrario, quindi anche malevolo, sul sistema degli utenti semplicemente visitando una pagina web.
Un aggressore può quindi far leva sul bug individuato in Internet Explorer per disporre l’esecuzione di codice sulle macchine client, con gli stessi diritti dell’account correntemente “loggato” in Windows. Ciò significa che se l’utente stesse usando un account dotato dei diritti di amministratore, il codice caricato mediante una normale pagina web verrebbe eseguito in locale con i privilegi amministrativi.
Non tralasciando il fatto che Internet Explorer resta ad oggi il secondo browser più utilizzato al mondo dopo Chrome con il 9,64% delle quote di mercato (il browser di Google è primo con il 65,57%; fonte NetApplications, dati aggiornati a novembre 2018), esistono molti modi per uno sviluppatore di richiedere l’esecuzione di codice usando il motore di rendering Trident/MSHTML.
Ne consegue l’importanza della patch appena rilasciata da Microsoft: i criminali informatici possono infatti aggiungere codice nocivo in qualunque pagina web e disporre l’esecuzione di codice arbitrario sui sistemi client.
L’aggiornamento per le varie versioni di Windows interessa Internet Explorer 11, 10 e 9 ed è già in corso di distribuzione tramite Windows Update (in questa pagina sono pubblicati tutti i riferimenti per l’eventuale download manuale).