Una vulnerabilità che coinvolge tutte le ultime versioni di Internet Explorer è stata scoperta nelle scorse ore. Il bug vede infatti a rischio tutti gli utenti di Windows XP SP3 che utilizzano una versione del browser tra la 6, la 7 e la 8. Nessun rischio, invece, per quanti utilizzano Internet Explorer su Windows Vista e Windows 7.
Il bug, confermato anche da Microsoft, porta ad un exploit che si attiva quando l’utente viene indirizzato ad aprire un particolare sito Web dal quale, tramite la comparsa di una finestra pop-up, l’utente viene in seguito invitato a premere il tasto F1 in modo da consentire, involontariamente, l’esecuzione di codice dannoso sul sistema.
Secondo quanto si apprende, l’exploit sarebbe noto da alcune settimane, ma non sarebbe stato ancora utilizzato in attacchi specifici, cosa che ha consentito a Microsoft di avere il tempo per poter studiare una patch correttiva.
La falla coinvolge l’esecuzione di VBScript e i file Windows Help di Internet Explorer (le finestre che si aprono contenenti istruzioni sulle operazioni comuni relative all’uso del browser), con quest’ultimi che, secondo quanto ammesso da Microsoft stessa, sono tanto utili quanto potenzialmente pericolosi.
Il punto essenzialmente è quello che questi file implicazioni automatiche che potrebbero essere sfruttati per eseguire operazioni pericolose da parte dei soliti cybercriminali.
Sarà da capire se Microsoft aggiornerà Internet Explorer entro il mese di marzo, possibilmente il 9, giorno in cui cade il patch-day del gruppo di Redmond, o se, invece, vista la non particolare gravità della minaccia, l’aggiornamento slitterà al prossimo aprile.