Bug VML, una patch non ufficiale

Un team di esperti di sicurezza ha sviluppato una patch temporanea che corregge la seria vulnerabilità di sicurezza scoperta di recente in Internet Explorer e già sfruttata da decine di siti malevoli
Un team di esperti di sicurezza ha sviluppato una patch temporanea che corregge la seria vulnerabilità di sicurezza scoperta di recente in Internet Explorer e già sfruttata da decine di siti malevoli

In attesa che Microsoft rilasci una correzione ufficiale per la vulnerabilità VML di Internet Explorer , un gruppo di ricercatori di sicurezza ha sviluppato una patch temporanea che permette di sistemare il problema.

Sviluppata dal Zeroday Emergency Response Team ( ZERT ), la patch può essere scaricata da questa pagina e applicata ad una versione vulnerabile di Windows XP, non senza però le dovute cautele: come spiegato dagli stessi creatori, il fix viene infatti fornito senza alcuna garanzia e supporto .

Sulla home page del sito di ZERT c’è anche il link ad un test per verificare se il proprio sistema è vulnerabile o se la patch si è installata correttamente.

Uno dei membri del team di esperti, Roger Thompson, ha criticato “le lentezze burocratiche” di Microsoft di fronte ad un bug che “è destinato ad essere utilizzato da un crescente numero di siti e codici maligni”. Alcune stime sostengono addirittura che, nell’arco di una settimana, i siti capaci di prendere di mira la nuova falla potrebbero arrivare a 10.000 .

L’ Internet Storm Center ha appena innalzato il proprio livello di allerta da verde a giallo , giustificando questa mossa con la necessità di spingere gli amministratori di sistema a prendere misure idonee ad arginare il problema. Oltre alla patch non ufficiale di ZERT, gli utenti possono applicare i workaround elencati qui da ISC e nell’ advisory di Microsoft.

Il big di Redmond ha in piano di rilasciare la patch il prossimo 10 ottobre, in congiunzione con la pubblicazione dei suoi bollettini di sicurezza mensili, ma la crescente pressione di esperti di sicurezza e clienti potrebbe spingerla ad anticipare i tempi : attendere altri 15 giorni, secondo alcuni, potrebbe infatti lasciare tutto il tempo ai cracker per inondare la Rete di exploit capaci di compromettere milioni di PC.

Link copiato negli appunti

Ti potrebbe interessare

24 09 2006
Link copiato negli appunti