Microsoft ha confermato che una vulnerabilità nelle versioni precedenti di Internet Explorer potrebbe essere utilizzata per dirottare i computer.
Il codice dell'exploit è apparso sul file Mailing list sulla sicurezza Bugtraq venerdì ed è stato smontato da Symantec durante il fine settimana.
"L'exploit prende di mira una vulnerabilità nel modo in cui Internet Explorer utilizza le informazioni Cascading Style Sheet (CSS)", ha affermato dice l'azienda sul suo blog.
Ci aspettiamo che nel prossimo futuro sia disponibile un exploit affidabile e completamente funzionante
“L’exploit attualmente mostra segni di scarsa affidabilità, ma prevediamo che nel prossimo futuro sarà disponibile un exploit affidabile e pienamente funzionante. Quando ciò accade, gli aggressori avranno la capacità di inserire l'exploit nei siti Web, infettando i potenziali visitatori.
"L'attacco richiede JavaScript per sfruttare Internet Explorer", conclude il blog.
Il colosso del software ha ora riconosciuto che la vulnerabilità esiste, ma ha sottolineato che non ha ancora visto attacchi in circolazione. L'azienda ha inoltre affermato che Internet Explorer 8 non è interessato.
Questa sarà una magra consolazione, dato che IE6 e IE7 detengono il 41% del mercato globale dei browser, secondo Net Applications. Internet Explorer 8 segue con una quota del 18,1%.
L'azienda ha invitato gli utenti di IE6 e 7 a mantenere aggiornato il proprio software antivirus e a disabilitare JavaScript finché non verrà rilasciata una patch. A Microsoft non viene chiesto se prenderà in considerazione l'emissione di una patch fuori ciclo per risolvere il problema.
“Una volta terminate le indagini, intraprenderemo le azioni appropriate per proteggere i clienti. Ciò potrebbe includere la fornitura di un aggiornamento di sicurezza attraverso il processo di rilascio mensile, un aggiornamento fuori ciclo o indicazioni aggiuntive per aiutare i clienti a proteggersi”, afferma l’azienda.
Il prossimo aggiornamento pianificato di Microsoft dovrebbe arrivare l'8 dicembre.
