Nei giorni scorsi Microsoft ha rivelato la presenza di una grave Vulnerabilità "zero-day" in Internet Explorer, che permette l'esecuzione di codice malevolo, aggirando la protezione offerta da Windows DEP (Data Execution Prevention) e Windows ASLR (Address Space Layout Randomization).
La vulnerabilità, che interessa Internet Explorer dalla versione 6 alla versione 11 consente, aggirarando le protezioni DEP e ASLR, di utilizzare porzioni di memoria (assegnate ad Internet Explorer e rilasciare in modo errato), con del codice malevolo e di eseguirlo. Ovviamente per sfruttare questa vulnerabilià basta visitare una pagina Web appositamente realizzata, usando Internet Explorer.
Microsoft dovrebbe rilasciare una patch a breve, ma non si sa se verrà rilasciata appena disponibile oppure solo al prossimo secondo martedi del mese (conosciuto come "patch thursday").
Questa è la prima vulnerabilità che gli utenti di Windows XP non riceveranno, a causa del Termine del Supporto. In questo caso la soluzione dovrebbe essere semplice: non usare Internet Explorer.