Falla IE, tutte le versioni vulnerabili?

La vulnerabilità di sicurezza emersa la scorsa settimana in Internet Explorer 7, e già sfruttata in un numero limitato di attacchi, potrebbe avere una portata più ampia di quanto inizialmente congetturato da Microsoft . A dirlo è lo stesso big di Redmond, che con due aggiornamenti al proprio advisory ha aggiunto alle versioni “potenzialmente” vulnerabili del proprio browser anche le 5.01, 6 e 8 Beta.

Microsoft sottolinea però che gli attacchi segnalati fino ad oggi hanno come unico target IE7, e che in IE8 l’impatto della vulnerabilità è significativamente mitigato dalla funzione di sicurezza Protection Mode . Tale funzionalità è peraltro presente anche in IE7, ma non è altrettanto efficace di quella implementata nel suo successore.

Decisamente più efficaci, invece, le misure di sicurezza integrate nelle versioni server di Windows.

Con le ultime revisioni al suo advisory, Microsoft ha anche colto l’occasione per rivelare maggiori dettagli sul bug e fornire alcuni workaround, tra i quali uno specifico per Windows Vista.

In generale, BigM raccomanda ai propri utenti di elevare il livello di sicurezza della zona Internet portandolo su “alto”: in questo modo il browser chiederà sempre l’autorizzazione all’utente prima di eseguire qualsiasi script o controllo ActiveX. Più nello specifico, Microsoft consiglia anche di disattivare l’utilizzo del file OLEDDB32.DLL (l’azienda fornisce diversi metodi per farlo) e di attivare la funzione Data Execution Prevention ( DEP ) per IE7 in Windows Vista e Windows Server 2008.

Per maggiori informazioni su questa vulnerabilità si veda anche questo post apparso sul blog di Secunia.