C'è una nuova falla di sicurezza in Windows, una vulnerabilità zero-day che riguarda tutte le versioni (anche server) e che è stata resa pubblica negli scorsi giorni, dopo aver dato a Microsoft tre mesi per applicare una correzione.
Il problema è individuato nel Microsoft Jet Database Engine, un componente che si trova in tutte le versioni del sistema operativo. Se sfruttata a dovere, la falla permette l'esecuzione di codice arbitrario sulla macchina colpita.
La minaccia è di gravità medio-alta. Affinché l'attacco vada a segno è necessario indurre la vittima a fare un'azione, come cliccare su un link pericoloso o aprire un file. Vincoli che non sono mai stati davvero un ostacolo per i malintenzionati, nella storia della sicurezza informatica.
Microsoft è stata avvisata del problema lo scorso maggio e ha avuto novanta giorni (un tempo canonico) per trovare e pubblicare una soluzione. Lo scorso 9 settembre l'azienda di Redmond ha fatto sapere al team di Zero Day Initiative che forse non sarebbe riuscita a pubblicare la patch in tempo. Ipotesi poi confermata nei giorni successivi.
La conseguenza è che in questo momento la vulnerabilità è pubblicamente nota e non esiste una vera soluzione da parte di Microsoft. Possiamo solo mitigare la minaccia ponendo una maggiore attenzione ai siti che visitiamo, a dove clicchiamo e alle email che riceviamo, in attesa che un prossimo aggiornamento di Windows risolva il problema.