IE9 e Windows 7 SP1, l’accoppiata vulnerabile

Internet Explorer 9 e Windows 7 Service Pack 1 sono l’accoppiata più sicura del mondo? No. L’azienda di sicurezza Vupen ha creato un exploit per IE9 che supera tutte le difese dell’ultimo sistema operativo Microsoft (adeguatamente patchato) sfruttando due vulnerabilità distinte.

“La prima permette l’esecuzione di codice arbitrario all’interno della sandbox di IE9. La seconda di bypassare la sandbox per un’esecuzione completa del codice”, ha affermato Chaouki Bekra, AD di Vupen.

ASLR, DEP e modalità protetta di IE9 non servono. Fortunatamente il codice “exploit” non è stato rintracciato online e quindi per il momento non c’è pericolo. A godere della scoperta di Vupen saranno i loro clienti (agenzie governative in primis), in modo che possano difendere le loro infrastrutture.

Chiaramente IE9 non è molto diffuso in questi ambienti, ma la falla è trasversale e riguarda anche le versioni otto, sette e sei. Per queste release Vupen non creato un codice exploit e consiglia a tutti gli utenti di IE di disabilitare JavaScript o usare un altro browser. 

L’unica informazione al momento nota è che è coinvolta la libreria mshtml.dll, e più precisamente quando viene gestita una specifica combinazione di codice HTML e JavaScript. Al momento non è chiaro se Microsoft è a conoscenza del problema e se sta lavorando per risolverlo.

Nel frattempo segnaliamo che alcuni utenti hanno iniziato a ricevere Internet Explorer 9 tramite il sistema di aggiornamento automatico. Etichettato come “Importante”, IE9 fa quindi la sua comparsa su Windows Update, un canale importante per finire su più PC possibili e guadagnare quote di mercato.