Per la falla di Internet Explorer arriva la "toppa" a tempi record
Microsoft mette oggi in rete un aggiornamento per proteggere gli utenti. I pirati informatici hanno già colpito 10.000 siti. A rischio le password dei navigatori

IL PERICOLO montato nelle scorse ore, per gli utenti di Internet Explorer, era così grande da spingere Microsoft a una mossa insolita: sviluppare una toppa a tempo di record alla vulnerabilità che ha messo in allarme milioni di navigatori. Sarà disponibile alle 19 di oggi. Arriverà in forma di aggiornamento automatico, agli utenti che hanno attiva questa funzione (tutti dovrebbero farlo, si veda su Windows sotto le voci Pannello di Controllo/Aggiornamenti automatici).
"Ci abbiamo messo otto giorni per sviluppare la patch (la toppa, ndr.) per quella falla di sicurezza. A un utente medio potrebbe sembrare tanto tempo, ma è un record. In media Microsoft sviluppa patch ogni 24 giorni. La seconda azienda più veloce, dopo di noi, ci mette 72 giorni", dice Feliciano Intini, chief security advisor di Microsoft Italia. Intini ha un blog molto seguito sulla sicurezza informatica, dove parla anche di questo problema ( http://blogs.technet.com/feliciano_inti … lorer.aspx ).
Quest’urgenza la dice lunga su quanto grave fosse il pericolo: gli utenti rischiavano il furto delle proprie password (o altro) navigando con Internet Explorer su un sito contagiato dai pirati per sfruttare questa vulnerabilità. I siti colpiti erano già circa 10 mila, in rapida crescita: un contagio che si stava diffondendo a macchia d’olio, quindi.
"Non ci risulta nessun sito italiano tra quelli colpiti", aggiunge comunque Intini. "Beninteso- continua- questa vulnerabilità del browser di per sé era come le altre, già scoperte in passato. A renderla un problema urgente è stato il modo con cui i pirati sono riusciti subito a sfruttarla, contagiando in pochi giorni migliaia di siti. È questa la novità, che segna una nuova fase della battaglia tra noi e loro".
Il punto è proprio questo: che il browser siano vulnerabili non è una novità; gli altri browser sono fallati tanto quanto Internet Explorer (secondo Microsoft e alcuni test ( http://www.utest.com/news_bug_…..s_Q408.htm ) recenti, lo sono anche di più). A fare la differenza è come e quanto queste falle sono sfruttate dai pirati. "Gioca a nostro sfavore, in questo caso, la grande popolarità del nostro browser. Il che spinge i pirati a concentrarsi per sfruttare in particolare le falle del nostro browser, per colpire così il più grande numero possibile di utenti". È lo stesso motivo per cui i sistemi Windows sono considerati più a rischio virus e pirati rispetto a quelli Mac o Linux, a prescindere dal numero di falle che ognuno di loro abbia.
Di conseguenza, non dovrebbe passare molto tempo prima che i pirati decidano di sfruttare un’altra falla di Internet Explorer. "Un’altra novità è che hanno preso l’abitudine di aspettare la nostra pubblicazione periodica delle patch. Subito dopo, pubblicano l’exploit (il modo con cui è possibile sfruttare falle ancora non tappate), così da fare il massimo danno possibile". I pirati confidano nel fatto che fino al prossimo aggiornamento periodico la falla resterà aperta e sfruttabile. Microsoft risponde pubblicando patch straordinarie, che arrivano prima dell’aggiornamento periodico.
Una promessa e una speranza: la futura versione di Internet Explorer, la ottava, che arriverà nei primi mesi del 2009, sarà più sicura delle precedenti. Per due motivi, dice Microsoft. Primo, perché sarà il primo dei loro browser a essere sottoposto a un ciclo completo di controlli sulla sicurezza del codice. Sono test fatti simulando attacchi. "La complessità del software porta inevitabilmente, però, a qualche vulnerabilità residua. Così, da una parte miriamo a ridurne il numero. Dall’altra, a smorzare l’impatto dei loro effetti". Ed ecco il secondo motivo: Internet Explorer avrà sistemi di protezione che ridurranno le possibilità di sfruttare le vulnerabilità e che mitigheranno i danni che ne conseguono. Per esempio, un filtro contro gli attacchi che travasano i dati personali degli utenti da siti affidabili a siti pirata [Image Can Not Be Found]