Microsoft sta indagando su alcuni report che riguardano una vulnerabilità presente in tutte le edizioni di Windows. Questa falla di sicurezza potrebbe consentire a un malintenzionato di far lavorare script maligni ed entrare così in possesso d'informazioni sensibili.
Secondo Microsoft questa falla è simile a un attacco cross-site scripting (XSS). "Microsoft è a conoscenza delle informazioni pubblicate e di un codice proof of concept che tenta di sfruttare questa vulnerabilità ", ha scritto la casa di Redmond.
La vulnerabilità è dovuta a un bug del gestore del protocollo HTML (MIME HTML), più in particolare nel modo in cui MHTML interpreta le richieste MIME per blocchi di contenuti all'interno di un documento. È possibile che sotto certe condizioni un malintenzionato possa sfruttare la vulnerabilità per iniettare uno script sul lato client in risposta a una richiesta web. Lo script potrebbe sottrarre contenuti, fornire dati o intraprendere altre azioni in nome dell'utente colpito.
Solo Internet Explorer e Opera supporta nativamente MHTML. Chrome e Safari no, mentre Firefox richiede un add-on per leggere e scrivere file MHTML. Per molti quindi la più facile delle precauzioni da adottare è quella di non usare Internet Explorer. Microsoft ha comunque rilasciato uno strumento di Fixit che si occupa di modificare i registri per bloccare il gestore del protocollo MHTML. Tuttavia sarà sempre possibile avviare file MHTML che includono script cliccando su un avvertimento.
L'azienda deve ancora decidere se risolvere la falla con un aggiornamento straordinario oppure aspettare il patch day mensile atteso, come di consueto, il secondo martedì del mese.