Solitamente Microsoft rilascia dei cicli di aggiornamenti critici, a cadenza mensile, per i suoi sistemi operativi (e i componenti aggiuntivi) : l’ultimo risale a martedì scorso. E, neanche a farlo apposta, martedì stesso è stato resa resa nota una gravissima vulnerabilità in Internet Explorer 6/7. Come al solito un utente malintenzionato, con l’ausilio di una pagina web fatta ad hoc, sarebbe potenzialmente in grado di prendere il controllo delle macchine vulnerabili.

Il tutto è dovuto ad una gestione sbagliata di un puntatore di memoria : tramite del codice remoto – presente su una pagina web – progettato ad hoc, si può far si che la macchina di coloro che visitano il sito web con IE 6 o 7 esegua del codice malizioso, che potrebbe permettere l’installazione di malware o – peggio ancora – backdoorare la macchina stessa (in modo da farne assumere all’hacker il controllo completo). Come ho già detto, il bug affligge la versione 6 e la versione 7 di Internet Explorer, a prescindere dal sistema operativo su cui questa viene eseguita : Windows XP, Windows server 2003 e Windows Vista risultano essere vulnerabili (Windows 7 no, il browser di default è IE8). Come ho già detto, dovremo aspettare un mese per il nuovo ciclo di aggiornamenti critici per Windows e, intanto, dal colosso di Ballman arrivano tre possibili (e scontatissimi) rimedi : evitare di visualizzare pagine web dal dubbio contenuto, eseguire l’aggiornamento gratuito a IE 8 o, in alternativa, eseguire IE 6 o 7 in modalità protetta potrebbe limitare i danni. Vi lascio il link al security advisory da Microsoft.com, da Secunia.com e il link diretto per l’aggiornamento gratuito ad IE8.