Il problema è confermato dal Microsoft Security Response Center (MSRC) ove è notificata la presenza di un exploit pubblico che, a partire dal 26 Febbraio scorso, mette sotto minaccia tutti gli utilizzatori dei browser vulnerabili sul sistema operativo indicato. L’exploit va a segno nel momento in cui si riesce a forzare la visita di un particolare sito web all’utente, convincendolo quindi tramite pop-up a cliccare su F1. Il codice non ha al momento preso la forma di attacco vero e proprio, il che lascia a Microsoft ancora del tempo utile per sviluppare una patch da distribuirsi a risoluzione della vulnerabilità.
«Il problema in questione coinvolge l’uso di VBScript ed i Windows Help file in Internet Explorer». A proposito di questi ultimi, il team Microsoft spiega quanto siano utili ma al tempo stesso pericolosi poiché implicano azioni automatiche di grandi potenzialità per i malintenzionati che intendessero approfittare dell’exploit emerso. Un apposito documento è stato pubblicato al fine di chiarire l’uso di tali file ed il loro ruolo sul sistema operativo.
La segnalazione originale giunge da Maurycy Prodeus, il quale ha segnalato la possibilità di invocare winhlp32.exe tramite VBScript con apposito documento pubblico. La scoperta è datata 1 Febbraio ed il documento indica la possibilità di eseguire codice arbitrario sulla macchina vulnerabile.
Il prossimo aggiornamento di sicurezza Microsoft è previsto per il 9 Marzo ed entro fine settimana il gruppo diramerà il numero delle patch disponibili per la tornata mensile degli aggiornamenti. Se la situazione non dovesse improvvisamente aggravarsi, quindi, Microsoft potrebbe aggiornare IE già il secondo martedì di Marzo, slittando in caso contrario all’appuntamento del 13 Aprile.
