La società francese Vupen ha scoperto una falla zero-day in Internet Explorer 9 che potrebbe consentire a malintenzionati di eseguire codice da remoto sui computer delle vittime.

La vulnerabilità coinvolge in particolare i PC su cui è installato Windows 7, anche nelle versioni aggiornate con il Service Pack 1. In pratica, l’exploit individuato nel browser, dopo aver superato tutta una serie di sistemi di sicurezza come ASLR, DEP e la modalità protetta da sandbox di Internet Explorer 9, sfrutta due vulnerabilità distimte: di queste la prima consente di eseguire codice arbitrario nella sandbox, mentre la seconda apre un varco verso l’esterno in modo da poter effettuare l’attacco.

Il rischio di incorrere in questo tipo di attacco è al momento limitato: Vupen comunque dichiara di aver verificato l’esistenza della falla con un codice exploit sviluppato nei propri laboratori e messo a disposizione solo degli enti governativi che si servono di tali informazioni per proteggere le proprie infrastrutture informatiche. Non è previsto il rilascio di un’apposita patch di Microsoft nell’immediato: ad ogni modo una soluzione temporanea può essere quella di disabilitare JavaScript, dal momento il problema interessa principalmente la libreria di sistema mshtml.dll.