Microsoft ha rilasciato questa settimana un aggiornamento di sicurezza per Internet Explorer, che include le correzioni per 13 vulnerabilità. L’aggiornamento MS16-009 non è per tutti, però: mantenendo una promessa fatta nel 2014, Microsoft non supporta più le versioni obsolete di IE. Nello specifico, non riceveranno le patch gli utenti di IE7, IE8, IE9 (eccetto chi lo esegue su Windows Vista) e IE10 (tranne che su Windows Server 2012).

Anche se Microsoft non ha precisato quali correzioni non sono disponibili per le versioni più vecchie di Internet Explorer, non è difficile individuarle.

Delle 13 vulnerabilità risolte da MS16-009, nove colpiscono tutte le versioni ancora supportate di IE, tra cui IE9 su Windows Vista e IE10 su Windows Server 2012. Poiché le diverse versioni del browser condividono buona parte del codice – e questa è una delle ragioni principali per cui Microsoft ha lanciato il nuovo browser Edge – è quasi certo che le nove vulnerabilità esistano anche in IE7, IE8 e le versioni di IE9 e IE10 che non riceveranno le patch.

In altre parole, più di due terzi delle vulnerabilità risolte da Microsoft probabilmente rimarranno presenti nelle vecchie versioni di IE.

Il pericolo delle vulnerabilità note, ma senza patch è significativo: i criminali informatici analizzano regolarmente gli aggiornamenti e confrontano il codice “prima” e “dopo” per determinare ciò che è stato cambiato. Essi quindi utilizzano tali informazioni per indagare ulteriormente nel tentativo di decodificare la patch e trovare la vulnerabilità sottostante. Una volta che il bug è stato identificato, creano un exploit per hackerare con successo il software senza patch, sapendo che non tutti eseguono immediatamente l’aggiornamento.

In questo caso, la vulnerabilità trovata, per esempio, in IE9 su Vista – che è stato patchato questa settimana – può permettere di individuare la posizione del bug nel vecchio IE8. Da lì, si può creare un exploit per il browser senza patch.

La motivazione per spendere tempo in queste ricerche, almeno per il momento, perché molti utenti di Internet Explorer in tutto il mondo utilizzano ancora le versioni ormai in pensione. Secondo i dati di Net Applications, nel mese scorso circa un terzo delle versioni IE in uso è tra quelle che non riceve più gli aggiornamenti di sicurezza.

Microsoft ha dichiarato il pensionamento anticipato di IE7 e IE8 e il pensionamento parziale di IE9 e IE10 nel mese di agosto 2014, invitando gli utenti a effettuare l’aggiornamento all’ultima versione disponibile del browser entro il 12 gennaio 2016. Per la maggior parte degli utenti, l’ultima la versione disponibile per il proprio sistema operativo è IE11.