La falla di sicurezza sarebbe già sfruttata per condurre attacchi con l’intento di infettare le macchine vulnerabili.
Attraverso la pubblicazione di un bollettino, Microsoft ha lanciato l’allerta circa la scoperta di una nuova vulnerabilità in Internet Explorer 6.0 e 7.0. La falla di sicurezza sarebbe già sfruttata per condurre attacchi con l’intento di infettare le macchine vulnerabili. Secondo i tecnici dell’azienda, il componente del browser che attualmente espone gli utenti a rischi di attacco sarebbe la libreria iepeers.dll.
Come soluzione temporanea, il colosso di Redmond suggerisce la disabilitazione dell’esecuzione degli script attivi accedendo alla finestra delle opzioni del browser (Opzioni Internet, Protezione, area Internet, impostazione Livello di protezione per l’area su Alto oppure disabilitazione degli script attivi ricorrendo al pulsante Livello personalizzato) e la contestuale attivazione della funzionalità DEP (“Data Execution Prevention“).
Per impostazione predefinita, Outlook, Outlook Express e Windows Mail aprono le e-mail utilizzando un contesto con restrizioni elevate: ciò significa che, di default, non è permessa l’esecuzione di script attivi così come il caricamento di controlli ActiveX. In queste situazioni, quindi, la vulnerabilità presente nel file iepeers.dll non può essere direttamente sfruttata. Se l’utente, tuttavia, dovesse cliccare su un link “maligno” presente in una e-mail pervenutagli, potrebbe comunque esporsi a seri pericoli.
Né Internet Explorer 8.0 né i browser sviluppati da terze parti sono affetti da questa vulnerabilità.
