La divisione di sicurezza del Project Zero di Google ha pubblicato i dettagli di una vulnerabilità grave che affligge Windows 10, Microsoft Edge e Internet Explorer 11. Questa falla consente agli hacker di mandare da remoto in crash sia Edge che Internet Explorer, forzando l’esecuzione di codice malevolo e acquisendo i privilegi di amministrazione.
Google ha avvisato Microsoft del pericolo ormai più di 90 giorni fa, il 25 novembre, ma da allora non è stata notificata alcuna patch correttiva da parte del colosso di Redmond. Google ha così deciso di sputtanare – scusate il termine forte, ma quando ci vuole ci vuole – Microsoft avvisando gli utenti Windows dei potenziali rischi. Ivan Fratric, il ricercatore Google che ha scoperto la falla, ha spiegato che generalmente non ama svelare dettagli finché non viene rilasciato un aggiornamento di sicurezza: ecco perché il team ha atteso per questi 90 giorni, dando a Microsoft tutto il tempo di intervenire. Ciò però non è avvenuto, quindi mettere in guardia gli utenti è divenuto necessario.
Il bug CVE-2017-0037 è stato classificato come “molto severo” dal National Vulnerability Database, il quale avverte:
[la falla] permette agli hacker di eseguire codice arbitrario da remoto.
Questa falla sfrutta il modo in cui Internet Explorer 11 e Microsoft Edge gestiscono i comandi con le parti interattive dei siti web. Al momento non ci sono prove che l’exploit venga sfruttato su larga scala, ma il pericolo esiste. Microsoft ha quindi risposto a Google tramite portavoce:
Crediamo nella coordinazione in caso di divulgazione di vulnerabilità, abbiamo discusso con Google della possibilità di estendere la loro deadline poiché la divulgazione di questa falla potrebbe mettere a rischio gli utenti. Microsoft ha preso l’impegno verso il cliente di indagare i problemi di sicurezza segnalati in modo proattivo e di aggiornare i dispositivi impattati il più presto possibile.
Intanto si aspetta la patch correttiva.