Se il pericolo è alto, come può esserlo un bug di severità “critica” in Internet Explorer, allora serve una patch di emergenza. Microsoft esce dagli schemi soliti, quelli dei rilasci a cadenza mensile del Patch Tuesday, pubblicando due correttivi di sicurezza per altrettanti problemi scoperti in due dei suoi software. Il più grave riguarda Internet Explorer: nel browser è stata scoperta una vulnerabilità zero-day, riguardante il motore di scripting e già sfruttata per attacchi con esecuzione di codice da remoto.
Più precisamente, scrive l’azienda di Redmond, “la vulnerabilità potrebbe corrompere la memoria in modo da permettere a un attaccante di eseguire codice arbitrario nel contesto dell’utente corrente”. In pratica, chi sferra l’attacco può ottenere privilegi analoghi a quelli dell’utente che in quel momento è registrato (loggato), sia come utente semplice sia come amministratore. Nella peggiore delle ipotesi, è possibile che vengano installati programmi, modificati o cancellati dati e creati nuovi account dotati di privilegi sul sistema. Prima che tutto questo succeda, tuttavia, è necessario che l’utente si rechi attraverso il browser su un sito Web malevolo, indotto a compiere quest’azione da messaggi di phishing o pubblicità (anch’esse malevole) che compaiono sul motore di ricerca.
Per quanto il market share di Internet Explorer sia ormai compresso intorno al 2% (ovvero sul totale delle sessioni di navigazione mensili, meno del 2% impiegano questo browser, secondo i dati di StatCounter), Microsoft ha ritenuto necessario correre ai ripari, senza attendere il mese di ottobre per il prossimo Patch Tuesday. Il correttivo alla vulnerabilità zero-day CVE-2019-1367 va installato manualmente.
Il secondo problema scoperto e corretto è un bug di Microsoft Defender, il software di sicurezza nativamente integrato in Windows 8 e 10. Identificata con la sigla CVE-2019-1255, si tratta di una vulnerabilità denial of service che può essere sfruttata per impedire agli utenti di eseguire sistemi binari, ma solamente se chi attacca ha ottenuto i diritti di “esecuzione” sul sistema. In questo caso, a differenza del precedente, non sono stati osservati tentativi di exploit. L’aggiornamento viene gestito da remoto dai server di Microsoft, senza che all’utente sia richiesta alcuna azione.