Sembra quasi che saltino fuori i bug pi?? gravi di Internet Explorer a mesi alterni. ?? stato Luglio il mese nero per il browser di casa Redmond, lo ?? ora Settembre, con due vulnerabilit?? gravi scoperte nell’arco di pochi giorni.

La prima di queste due falle, che ha visto sotto accusa la libreria Microsoft Vector Graphics Rendering (vgx.dll) quando venivano processati alcuni documenti Vector Markup Language (VML), ?? stata prontamente sistemata da Microsoft con una patch straordinaria rilasciata fuori dal ciclo mensile di aggiornamenti.

Ma, come sanno bene gli utenti di Windows, tappato un buco ne viene fuori un altro. E stavolta non ?? neanche nuovo come buco, visto che era stato scoperto il 17 Luglio scorso. Solo in questi giorni per??, su MilW0rm ?? stato rilasciato pubblico l’exploit per sfruttare questa falla rimasta ancora aperta.

Ne hanno approfittato subito i malintenzionati, mettendo su numerosi siti che stanno tutt’ora diffondendo malware all’insaputa degli utenti. La falla consiste in un buffer overflow nel controllo ActiveX WebViewFolderIcon, precisamente nel metodo SetSlice().

A tutt’ora non esiste una patch ufficiale della Microsoft, ma ?? stata rilasciata una patch da parte della societ?? Determina??.

La patch ?? scaricabile come pacchetto autoinstallante (MSI) o come ZIP contenente i binari e il codice sorgente.

Ho provveduto ad aggiornare Prevx per l’identificazione del malware gi?? diffuso dai siti che stanno utilizzando questa falla (ovviamente per quelli di cui sono venuto a conoscenza).

Alternativa alla patch: utilizzate browser alternativi quali Opera o Firefox per esempio, tra i pi?? famosi.