Internet Explorer è affetto da un nuovo problema di sicurezza: le versioni
6, 7 e 8 del browser, infatti, sono afflitte da una
vulnerabilità capace di permettere ad eventuali malintenzionati
l'esecuzione di codice da remoto. Anche la
nuovissima release 9 beta di IE sarebbe interessata dalla problematica.
La
falla è di una certa gravità , anche se non si registrano al momento
attacchi portati a termine con questo bug. Bug che, tuttavia,
aggira le protezioni create da
Microsoft, fra cui
Data Execution Prevention (DEP) e
Address Space Layout Randomization (ASLR).
Al momento Redmond, assieme ai suoi partner, sta ponderando se
rilasciare o meno una patch fuori dal classico
ciclo di update mensile. Il prossimo "
Patch Tuesday", infatti, sarà il prossimo
11 gennaio.
Come funziona il
bug? Basta attirare un ignaro utente su una
pagina web creata ad hoc per indurre il browser a processare un
foglio di stile CSS contenente delle regole @import maligne.
Il
codice necessario per portare a termine un attacco sfruttando questa falla è
già online e alcune società di cybersicurezza l'hanno già mostrato in azione.
Per scongiurare spiacevoli eventualità Microsoft consiglia di tenere
alto il livello di protezione in IE su Windows
Vista e Windows
7, disabilitando anche i controlli
ActiveX e Active Scripting.