Internet Explorer: una patch fuori programma
![[img]](/mediamytech/028001000951.jpg)
Sicurezza e antivirusInternet: le notizie
In diretta dalla rete Vulnerabilità critica. Nel bollettino che descrive la patch, Microsoft definisce la vulnerabilità “critica”, invitando all’aggiornamento immediato. Risulta quindi superata la patch MS04-038 (rilasciata a metà ottobre), che da sola copriva otto vulnerabilità del controverso browser Web.
L’applicazione dovrebbe risultare indolore, ma - se si sono installate nel frattempo hotfix di Microsoft o terze parti - si può incorrere in problemi, e risulta necessario seguire le istruzioni riportate nell’articolo della Knowledge Base a ciò dedicato; si tratta comunque di eccezioni che non dovrebbero riguardare la maggior parte degli utenti.
L’exploit subito. Questa volta non si è trattato di un caso confinato nella teoria: la notizia del bug, relativo ai tag Html IFRAME_ ed EMBED_, è stata accompagnata subito dalla diffusione dell’exploit, ovvero del codice necessario per sfruttare la vulnerabilità a proprio vantaggio.
E l’exploit è stato iniettato sul software pubblicitario AdSolution della tedesca Falk eSolutions, utilizzato da varie aziende che fanno pubblicità on line. Tra esse, il magazine inglese on line The Register, che per primo se n’è accorto e - dopo avere sospeso il servizio di pubblicità - ha emesso due stizziti comunicati al riguardo, seguito a ruota dalla stessa azienda “bucata” che ha agito da involontario untore per quasi una giornata.
Il tutto, nel silenzio di Microsoft, che si limitava a ricordare che “Bisogna realizzare rimedi di qualità, e non fix che introducano più problemi di quelli che risolvono” e - dietro le dichiarazioni di facciata - tentava di salvare il salvabile, faccia compresa.
Il rimedio, un mese dopo. Questa volta il rimedio ha impiegato un mese esatto: si tratta di un passo avanti, visto che il bug legato al drag and drop su Explorer, segnalato ad agosto, è stato corretto ad ottobre. Ma non c’è da essere allegri.
Windows Update. Da ultimo, Microsoft sta apportando modifiche a Windows Update, il popolare meccanismo di distribuzione degli aggiornamenti studiato per l’utenza non aziendale: l’azienda di Redmond si è accorta (anche qui in ritardo) che gli utenti Windows Xp Sp 1 non hanno ricevuto gli aggiornamenti di ottobre 2004.
Da Redmond, la giustificazione è pronta: i componenti di ottobre (dieci, a correzione di venti vulnerabilità complessive) erano già compresi in Windows Xp Sp 2, e Windows Update era (ed anche adesso è) impostato per seguire questo ramo di rilascio. Insomma, all’implicito “Abbiamo sbagliato”, si aggiunge il solito tormentone: “Aggiornate a Xp Sp 2 immediatamente”. Con buona pace degli utenti di versioni non Xp ma ancora supportate.
Ancora nessun commento.