Microsoft ha avvertito nelle scorse ore del rischio di possibili attacchi zero day per tutti gli utenti di Internet Explorer 6 e Internet Explorer 7.
Il problema, che non riguarda gli utenti di Internet Explorer 8, consentirebbe l’esecuzione di codice da remoto con il rischio di perdere il controllo del sistema nonché di veder violati i propri dati.
Una vulnerabilità che coinvolge tutte le ultime versioni di Internet Explorer è stata scoperta nelle scorse ore. Il bug vede infatti a rischio tutti gli utenti di Windows XP SP3 che utilizzano una versione del browser tra la 6, la 7 e la 8. Nessun rischio, invece, per quanti utilizzano Internet Explorer su Windows Vista e Windows 7.
Il bug, confermato anche da Microsoft, porta ad un exploit che si attiva quando l’utente viene indirizzato ad aprire un particolare sito Web dal quale, tramite la comparsa di una finestra pop-up, l’utente viene in seguito invitato a premere il tasto F1 in modo da consentire, involontariamente, l’esecuzione di codice dannoso sul sistema.
sponsor
Non c’è pace per Internet Explorer. Un gruppo di ricercatori giudato da Nicolas Pouvesle ha dimostrato come sia possibile bypassare alcune avanzate protezioni inserite di recente da Microsoft in IE7 e IE8 grazie ad una nuova tecnica denominata JIT-Spray.
Lo JIT-Spray permette di avere la meglio sull’ASLR (Address Space Layout Randomization), introdotta da Microsoft per caricare i diversi componenti del browser in locazioni di memoria diverse ad ogni avvio, rendendo così la vita più difficile ai “Code Injection”, anche in caso di vulnerabilità presenti nei plugin.
Microsoft ha finalmente pubblicato un aggiornamento di sicurezza per risolvere le ultime vulnerabilità di Internet Explorer, le stesse che hanno permesso a Google di cadere vittima dei sofisticati attacchi di cui si è tanto parlato negli ultimi giorni.
La vulnerabilità è stata resa nota solamente quando Google ha annunciato pubblicamente di essere stato vittima di attacchi con il fine di rubare sue proprietà intellettuali. A seguito di questi la grande G ha inoltre annunciato di essere intenzionata a lasciare il mercato cinese, dove ricordiamo, fino ad oggi è stata costretta a fornire un servizio di ricerca censurato, per adempiere agli obblighi imposti dal governo locale.
Dopo le roventi polemiche dei giorni scorsi, Microsoft corre ai ripari e aggiorna Internet Explorer. La patch metterà una pezza, o almeno così dovrebbe essere, alla vulnerabilità che tanto ha fatto parlare in queste ore anche a causa della presa di posizione netta del governo tedesco e di quello francese.
Il tutto è cominciato dalla scoperta che l’attacco subito da Google in Cina possa essere stato causato da una falla del browser di Microsoft, una vulnerabilità che avrebbe consentito ai pirati informatici di prendere il controllo dei sistemi degli utenti e rubare informazioni personali.
La falla di Internet Explorer che ha consentito nei giorni scorsi di compromettere i sistemi informatici di due giganti come Google e Adobe non è passata di certo inosservata agli occhi dei vari governi, in particolare quelli europei.
Nella giornata di venerdì scorso infatti il BSI (Ufficio Federale tedesco per la Sicurezza Informatica) ha emanato un comunicato ufficiale in cui consiglia a tutti gli utenti Internet Explorer di passare ad un browser alternativo, almeno fino a quando non sarà rilasciata da Microsoft la patch che corregge il problema.
