Non c’è aria di festa in casa Microsoft questa settimana, dopo l’attacco hacker scoperto nei giorni scorsi, capace di sfruttare una vulnerabilità delle versioni 6, 7, 8 e 9 di Internet Explorer, ovvero i browser scelti da oltre la metà dell’utenza mondiale (il 53% a fine agosto). Nonostante la pronta reazione della casa madre nel rendere disponibile una contromisura per l'exploit di Poison Ivy, il problema non è ancora definitivamente risolto.
La schermata "lotteria" con la presentazione dei browser in ordine casuale
Microsoft ha infatti suggerito ai suoi utenti di installare il programma
EMET 3.0 (Exploit Mitigation Experience Toolkit) e contemporaneamente di settare sull’opzione “alto” il livello di sicurezza del browser e di attivare gli avvisi di esecuzione di script. EMET è uno strumento rivolto all’utente avanzato, tipicamente al professionista IT aziendale, e che integra tecnologie anti-exploit come l’Aslr (address space layout randomization) e il Dep (data execution prevention) per applicazioni specifiche.
In attesa del rilascio di una vera e propria patch – che potrebbe arrivare forse il prossimo Patch Tuesday di Microsoft, il 9 ottobre – ieri il
BSI, l’agenzia tedesca per la cybersecurity, ha sottolineato che “gli hacker stanno già sfruttando la vulnerabilità ancora non riparata” e che “il codice di attacco è a disposizione su Internet”.
In una nota diffusa da
F-Secure, anche Mikko Hypponen, responsabile dei Laboratori di Ricerca della società di sicurezza, sottolinea: “Sappiamo che questa vulnerabilità è stata usata dai criminali. L’unica strada sicura per utilizzare Internet ora è cambiare il vostro browser”. Un passaggio facile e indolore per l’utente comune ma non per molte aziende, che quotidianamente usano Explorer con plugin proprietari per svolgere attività disparate.
Altre brutte notizie per la multinazionale di Redmond le riserva l’antitrust europeo, che ha riacceso la discussione sul
“ballot screen” e la presunta non neutralità di Windows nel proporre all’utente la scelta del browser predefinito. Secondo fonti riservate citate da
Bloomberg, l’Unione Europea starebbe preparando una nuova lamentela formale nei confronti di Microsoft. Solo pochi giorni fa Joaquin Almunia, responsabile della Commissione Antitrust, aveva dichiarato di
aver ricevuto rassicurazioni da Steve Ballmer in persona circa la presenza del ballot screen nella versione 8 del sistema operativo.
I problemi riguardano però soprattutto Windows 7, colpevole dell’assenza della schermata di scelta. Un “errore tecnico” per cui Microsoft ha già fatto pubblica ammenda. Per l’inchiesta già in corso, aperta a luglio in seguito alle denunce di Google e Mozilla, il colosso di Redmond potrebbe essere costretto a pagare una multa massima del 10% del suo fatturato annuo, ovvero fino a 5,7 miliardi di euro. Le fonti riservate di Bloomberg non hanno rivelato nulla su entità e tempistiche della ventilata nuova querela.