Microsoft ha notificato – attraverso un avviso di sicurezza – la presenza in Rete di un attacco “zero-day” ai danni di Internet Explorer. I tecnici di Redmond stanno lavorando a una patch correttiva, ma in attesa di rilascio è intanto possibile ricorrere ad alcuni workaround.
La nuova minaccia sfrutta una vulnerabilità di Internet Explorer non ancora resa nota che permette l’esecuzione di codice arbitrario sul computer della vittima tramite il trojan Poison Ivy, iniettato grazie ad una pagina malevola.
La falla colpisce tutte le versioni di IE fino alla 9 (Internet Explorer 10 è quindi al sicuro). I sistemi a rischio sono Windows XP, Windows Vista e Windows 7.
Nonostante i tecnici Microsoft abbiano etichettato tale minaccia come poco diffusa, ecco alcuni semplici consigli per ridurre al minimo i rischi di contagio:
- utilizzare il cosiddetto Enhanced Mitigation Experience Toolkit (EMET) per prevenire attacchi cracker;
- impostare il livello di sicurezza di Internet Explorer su “alta” in modo da bloccare i controlli ActiveX e Active Scripting;
- configurare Internet Explorer affinché visualizzi un avviso prima di eseguire codice Active Scripting o disabilitare tale funzionalità.
Microsoft rilascerà l’apposita patch correttiva non appena pronta; nell’attesa dell’annuncio è altamente consigliabile applicare una delle soluzioni esposte o, se possibile, utilizzare un browser diverso da Internet Explorer.