C’è una vulnerabilità che riguarda Internet Explorer 8. Ve ne parliamo adesso, ma è stata scoperta nell’ottobre del 2013. E questo non perchè la nostra redazione sia incapace, ma perchè Microsoft l’ha tenuta nascosta per tutto questo tempo.
La falla in sè non è nulla di nuovo: un pirata informatico deve convincere l’utente a seguire un link, tramite una mail, un messaggio su un social network o in qualsiasi altro modo gli suggerisca la sua fantasia, fino a portare la vittima ad un sito da lui costruito. Qui entra il gioco il componente CMarkup, la falla nel browser viene sfruttata e il pirata ottiene gli stessi privilegi dell’utente in quel momento collegato al computer. Si raccomanda, visto che la correzione ancora non c’è, di non navigare come amministratori, di disabilitare i controlli ActiveX nelle impostazioni del browser e di tenere le dita incrociate.
Ma il punto è un’altro: la falla è stata scoperta nell’ottobre dello scorso anno da Peter ‘corelanc0d3r’ Van Eeckhoutte, che ha avvisato la Zero Day Initiative (ZDI), una organizzazione che premia in denaro i ricercatori che scoprono delle falle nei sistemi, e si preoccupa di lavorare assieme ai proprietari del prodotti per una risoluzione del pericolo. La ZDI notifica immediatamente la Microsoft del problema, ma ottiene risposte vaghe, nessun dettaglio e soprattutto nessuna voglia di correggerlo. Per statuto, la ZDI può tenere segreti i dettagli del bug per 180 giorni, dopodichè li pubblica online, e questo mette in condizioni chiunque di sfruttare i codici malevoli. Questo accade, ma Microsoft non si muove.
Perchè? Internet Explorer 8 è installato sul 20.85% dei clienti, non c’è nessun motivo per non intervenire. E invece il motivo forse c’è. Perchè Microsoft non dice nulla, e l’unica possibile risposta giunge dopo qualche tempo da un portavoce di Redmond che spiega sostanzialmente due cose: la prima è che la falla non risulta concretamente sfruttata sulla rete e la seconda è che “alcune correzioni sono più complesse di altre, e dobbiamo testare ognuna di queste su un gran numero di programmi, applicazioni e configurazioni differenti.” Tradotto significa: visto che non è sfruttata veramente, e perderemmo molto tempo a correggerla, per ora preferiamo non fare nulla.
E’ giusto? Per la Microsoft sicuramente sì, è un ragionamento ineccepibile dal punto di vista aziendale. E per gli utenti? per ora nulla è successo di concreto, nessun pericolo e nessun danno, per cui Microsoft ci sta azzeccando. Non c’è il reale bisogno di intervenire. E allora? aspettiamo. Attendiamo che Microsoft trovi il tempo di correggere la vulnerabilità quando ne ha voglia, senza che accada nulla nemmeno ai suoi clienti. Senza preoccuparci, tanto non succede niente. Certo, credevamo che le connessioni cifrate fossero sicure, poi scoppia il caso Heartbleed. Non sapevamo cosa era l’NSA, poi lo abbiamo capito. Credevamo che iOS fosse un sistema sicurissimo perchè proprietario, poi abbiamo scoperto mazzi di vulnerabilità. Ma la Microsoft questa volta non sbaglia. Almeno, speriamo.