Microsoft: IE5, IE6 interessato anche dalla vulnerabilità del browser

Una vulnerabilità senza patch trovata in Internet Explorer 7 riguarda anche le versioni precedenti del browser e l'ultima versione beta, Microsoft ha avvertito giovedì.

Le nuove informazioni ampliano il pool di utenti chi potrebbe essere a rischio di essere inavvertitamente infettato da software dannoso installato sul proprio PC, poiché Microsoft non ha ancora una patch pronta.

In un avviso aggiornato giovedì, Microsoft ha confermato che IE 5.01 con Service Pack 4, IE6 con e senza Service Pack 1 e IE8 Beta 2 su tutte le versioni del sistema operativo Windows sono potenzialmente vulnerabili.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Anche gli utenti che eseguono IE7 su Windo sono vulnerabili ws XP Service Pack 2 e 3, Windows Server 2003 Service Pack 1 e 2, Windows Vista con e senza Service Pack 1 e Windows Server 2008.

La società ha chiarito qual è il problema con il browser in seguito a segnalazioni contrastanti da società di sicurezza informatica.

"La vulnerabilità esiste come riferimento di un puntatore non valido nella funzione di associazione dati di Internet Explorer", secondo l'avviso. "Quando l'associazione dati è abilitata (che è lo stato predefinito), è possibile che in determinate condizioni venga rilasciato un oggetto senza aggiornare la lunghezza dell'array, lasciando il potenziale per accedere allo spazio di memoria dell'oggetto eliminato. Ciò può causare la chiusura di Internet Explorer inaspettatamente, in uno stato che è sfruttabile. "

Microsoft ha dichiarato di aver visto solo attacchi limitati mirati al difetto in IE7. Tuttavia, gli analisti della sicurezza hanno affermato che sembra si stia sviluppando un numero crescente di siti Web in grado di sfruttare la vulnerabilità.

Il problema è particolarmente grave in quanto in alcuni casi gli utenti devono semplicemente visualizzare un sito Web per avere un cavallo di Troia programma scaricato automaticamente sul loro computer. Una volta su un PC, l'hacker può dirigere il programma per scaricare altri software non validi ed eseguire azioni quali l'invio di spam e il furto di dati.

Microsoft ha delineato nella consulenza molti modi in cui le persone possono ridurre la possibilità di cadere vittima, a seconda di cosa versione del browser e del sistema operativo che stanno utilizzando. Tuttavia, la soluzione infallibile ora è quella di utilizzare un altro browser fino a quando Microsoft non lo risolve.

Microsoft pubblica regolarmente patch il secondo martedì del mese, ma è noto che rilascia una cosiddetta patch out-of-band se il la minaccia è considerata abbastanza grave. Microsoft non dice se lo farà e tende a rilasciare semplicemente la correzione.

Il prossimo giorno di patch pianificato è il 13 gennaio, il che significa che gli hacker avranno almeno un mese per infettare quanti più computer possibili se Microsoft prevede di rilasciare una patch per il difetto quel giorno.

Le informazioni sulla vulnerabilità sono apparse per la prima volta nella regione cinese. Un gruppo di sicurezza cinese, chiamato knowsec, ha detto di aver sentito voci sul codice circolante nei mercati criminali sotterranei all'inizio di quest'anno. Si ritiene che il codice di exploit sia stato venduto a un certo punto fino a $ 15.000.

Le vulnerabilità del software sono estremamente preziose per i criminali informatici, poiché i difetti possono essere utilizzati per rubare dettagli della carta di credito e altri dati finanziari.

Negli ultimi anni, Microsoft ha pubblicizzato il suo record di miglioramento sulla sicurezza dei computer, ma è stato ancora appesantito dalle nuove scoperte di bug nei software precedenti.