Bug in Internet Explorer, pubblicato per sbaglio l'exploit

Il codice necessario per sfruttare un bug di Internet Explorer 7 privo di patch è stato pubblicato per errore. Milioni di computer a rischio.



La distrazione dei ricercatori di Knownsec, una società cinese specializzata nella lotta al malware, potrebbe costare cara ai milioni di utenti che navigano in Internet affidandosi alla coppia formata da Windows Xp e Internet Explorer 7.
Nel browser di Microsoft, infatti, c'è una vulnerabilità per la quale ancora non esiste una patch: pare che le informazioni su come sfruttarla siano state vendute, nel mese di novembre, per non meno di 15.000 dollari.

Poi, all'inizio di questo mese, il prezzo delle stesse informazioni ottenute di seconda o terza mano era sceso a soli 650 dollari (le stime provengono da iDefense, la sezione di VeriSign che si occupa di sicurezza), ma ora non è più necessario sborsare nemmeno quelli.
Credendo che la falla fosse stata chiusa con l'ultimo, corposo rilascio di patch, il team di sicurezza di Knownsec ha infatti pubbicato il codice necessario per l'exploit della vulnerabilità.
Invece la patch ancora non esiste e, ora che chiunque può scoprire come sfruttare il bug di Internet Explorer, si teme un aumento rapido di siti malevoli realizzati proprio a questo scopo: basta visitarli, infatti, e si aprono le porte a un'infezione.

Al momento pare che non ci sia modo di difendersi: se si usa Windows Xp - indipendentemente dal Service Pack - con Internet Explorer 7, navigare su un sito sconosciuto può esporre a seri rischi.
In attesa della patch - che potrebbe uscire insieme alle altre il prossimo 13 gennaio oppure, se Microsoft riconoscerà l'emergenza, anche prima - è sempre possibile cambiare browser.

[ZEUS News 12-12-2008]