Verso la fine dell’anno è stata scoperta una
vulnerabilità di tipo zero-day nelle versioni più vecchie del browser di navigazione
Internet Explorer.
Allo stato attuale,
Microsoft ha deciso di rilasciare una
patch provvisoria (
Fix It), in attesa di un update definitivo.
Dal canto loro, i ricercatori di
Exodus Intelligence sono stati in grado di aggirare il Fix It e di realizzare così un
exploit funzionante.
Il codice non è stato rilasciato pubblicamente dall’azienda: i dettagli sono stati comunicati ai clienti e Microsoft è stata informata.
Exodus Intelligence ha eseguito il reverse engineering della patch per scoprire il funzionamento e per poi bypassare il fix, riuscendo a infettare un sistema aggiornato con una variante dell’exploit.
La
vulnerabilità zero-day, inizialmente, è stata sfruttata dai pirati informatici dopo aver infettato il sito del
Council on Foreign Relations.
Microsoft ha perciò pensato di pubblicare un
security advisory volto a illustrare la faglia nel dettaglio e a spiegare come evitare l’esecuzione di codice arbitrario in
Internet Explorer 6, 7 e 8.
Il colosso di Redmond consiglia di applicare il Fix It, ma tale soluzione non offre più una protezione che possa essere definita affidabile.
In attesa di una patch definitiva o di un nuovo Fix It, si consiglia di utilizzare un
browser alternativo.