Sicurezza

Falla in Internet Explorer, niente correzione per Windows XP

È emersa una nuova falla zero-day che riguarda tutte le versioni di Internet Explorer, ha fatto sapere Microsoft un paio di giorni fa. L'azienda di Redmond pubblicherà al più presto una patch correttiva, ma non per chi usa Windows XP.

Il problema consente in alcuni casi di portare a termine "attacchi mirati" con l'esecuzione di codice arbitrario sul computer colpito. In altre parole un criminale potrebbe realizzare un sito web esca per installare un virus sul nostro computer o portare a termine qualche altra azione a suo piacimento.

Il problema è dovuto al "modo in cui IE accede agli oggetti in memoria che sono stati cancellati o non allocati propriamente", si legge nella nota pubblicata da Microsoft. Un eventuale attacco basato su questa vulnerabilità potrebbe superare sia Windows DEP (Data Execution Prevention) sia ASLR (Address Space Layout Randomization) – stando a quanto affermano gli esperti di Fire Eye.

Trattandosi di una "zero-day" c'è già qualcuno che sta sfruttando questa possibilità: Fire Eye riporta infatti che alcuni criminali stanno prendendo di mira istituzioni finanziarie e militari negli USA. Si tratta, secondo gli specialisti, di un gruppo noto da tempo ma particolarmente elusivo.

Il problema, come sempre quando si parla di Internet Explorer, va preso con la massima attenzione perché questo browser è usato da almeno una persona su quattro nelle sue varie versioni (anche 1 su 3 a seconda delle statistiche).

In attesa della correzione Microsoft suggerisce di usare la Enhanced Security Configuration (predefinita nei prodotti Server), affidarsi alla Restricted Zone per l'apertura di siti dai client di posta (predefinito) e in generale disabilitare i controlli ActiveX per siti sconosciuti. Una soluzione che riduce i rischi ma non li elimina. Il modo più semplice di procedere è probabilmente seguire le istruzioni del Enhanced Mitigation Experience Toolkit.

Chi invece usa Windows XP, ricordiamo, non potrà contare su un aggiornamento ufficiale da parte di Microsoft; in questo caso la scelta più sicura è affidarsi a un browser diverso se non si vuole cambiare sistema operativo.