www.MegaLab.it

Le novità inerenti la grave falla che affligge Internet Explorer si rincorrono in maniera frenetica in questi giorni.

La patch arriverà oggi

Considerata la portata del problema (e la grande attenzione che la stampa sta dedicando alla questione, che certo non contribuisce ad instillare fiducia nei consumatori-acquirenti), Microsoft ha annunciato l'intenzione di rilasciare la correzione senza aspettare l'appuntamento mensile regolare: la correzione arriverà attorno alle 19.00 di oggi.

Contestualmente, Microsoft ha ribadito il suggerimento di aggiornare il PC ad Internet Explorer 8, in grado di veicolare sostanziali benefici sul fronte security.

Un exploit anche per Internet Explorer 7 e 8

Nel corso delle varie informative, Microsoft ha precisato a più riprese che, sebbene il difetto sia presente anche nelle nuove versioni del navigatore, l'exploit pubblicato in rete è efficace solamente quando rivolto contro Internet Explorer 6. Tutto questo potrebbe però cambiare presto.

In un'intervista rilasciata a Computerworld, l'esperto e bug-hunter Dino Dai Zovi ha confermato di essere riuscito a sviluppare un attacco in grado di compromettere anche PC che utilizzino Internet Explorer 7 su Windows XP SP2 e la versione "gold" (senza Service Pack) di Windows Vista.

Poco dopo, l'azienda Vupen Security ha rincarato la dose annunciando di aver approntato un attacco in grado di violare anche Internet Explorer 8, perfino in caso misure di sicurezza come Data Excution Prevention (DEP) fossero attive.

Dai Zovi ha poi precisato che, nonostatne gli utenti di Windows Vista SP1 e Windows 7 dotati di Internet Explorer 8 siano nella situazione meno pericolosa, non possono dirsi totalmente al sicuro: le misure di sicurezza aggiuntive messe in campo dal sistema operativo sarebbero infatti alquanto deboli, ed incapaci di contenere la minaccia.

La linea d'azione migliore, secondo l'esperto, sarebbe quella di modificare anche IE affinchè possa usare un sistema di isolamento ("sandbox") simile a quello implementato da Google Chrome: tale tecnica, come ben sanno i lettori di MegaLab.it, è simulabile oggi tramite strumenti come Returnil Virtual System.

Microsoft ha risposto dalle pagine del blog ufficiale Security Research & Defense. Stando a quanto si legge, il colosso ha confermato che l'exploit funziona ed è in grado di scavalcare DEP, ma è efficacie solamente in un caso su tre quando utilizzato contro Windows XP, ed ha appena l'1% delle possibilità di andare a buon fine quando rivolto contro Windows Vista o Windows 7.

Grazie ad Address Space Layout Randomization (ASLR) inoltre, anche in caso un attacco portato contro le ultime due versioni di Windows riuscisse, si otterrebbe solamente il crash del navigatore nel 99% dei casi.

L'Australia sconsiglia Internet Explorer

Facendo eco ai suggerimenti di Germania e Francia, anche gli esperti australiani hanno consigliato all'utenza di abbandonare Internet Explorer in favore di altri navigatori web.

"Ci sono altri browser che sembrano essere meno bersagliati rispetto ad Internet Explorer dagli hacker e da queste organizzazioni" ha commentato Mark Gregory, docente presso l'università di Melbourne.

Onde evitare di essere frainteso, il luminare ha comunque precisato che non si tratta di una raccomandazione basata sul fatto che Internet Explorer sia più carente sul fronte security dei concorrenti: i browser alternativi sono semplicemente presi meno di mira dai cyber-criminali, e, con essi, tutti gli utenti che utilizzino tali strumenti per accedere alla rete.

Il team di sicurezza del governo ha fornito indicazioni simili: "Considerate l'uso di browser alternativi (Mozilla Firefox e Apple Safari sono due di questi browser) fino a quando un aggiornamento non sarà divenuto disponibile", si legge nel bollettino di AusCERT.