UPDATE2: Feliciano Intini risponde a Claudio Cicali (ha avuto qualche problema con i commenti del mio blog quindi mi ha scritto. Di seguito le sue parole).
Ciao Alessio e Claudio, il vostro dubbio comune mi fa capire di non essere stato sufficientemente chiaro, e di questo mi scuso: il punto è che, mentre la vulnerabilità è presente su tutte le versioni da IE 6 in poi (io ho usato la frase “relativa a tutte le versioni di Internet Explorer attualmente supportate tranne la versione nativa installata su Windows 2000 (IE 5.01)”), l’exploit noto è effettivamente funzionante nella modalità di remote code execution (che è quella che permette di infettare i PC con malware) solo su IE 6.
UPDATE: nei commenti qui e su FriendFeed Claudio Cicali fa notare che nella stessa Advisory di Microsoft la vulnerabilità di Internet Explorer viene estesa anche alle versioni 7 e 8.
Our investigation so far has shown that Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4 is not affected, and that Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 are vulnerable.
—
Due giorni fa la BBC riferiva che il Governo di Berlino ha invitato i cittadini tedeschi a non usare Internet Explorer perché non sicuro. Nel pezzo si legge:
The warning from the Federal Office for Information Security comes after Microsoft admitted IE was the weak link in recent attacks on Google’s systems.
E ancora:
Graham Cluley of anti-virus firm Sophos, told BBC News that not only did the warning apply to 6, 7 and 8 of the browser, but the instructions on how to exploit the flaw had been posted on the internet.
Considerata la portata e le implicazioni della notizia, valeva la pena andare direttamente alla fonte e porre una semplice domanda: E’ vero o no che le tre versioni di Internet Explorer chiamate in casua da berlino sono a rischio exploit?
Carlo Rossanigo, Direttore Comunicazione di Microsoft Italia, ha risposto così:
“Microsoft ha studiato il problema e trovato una vulnerabilità relativa alla sola versione 6 di Internet Explorer associata a Windows XP. Le versioni successive del browser, specialmente la 8, sono più che sicure.”
Fin qui la nuda cronaca. Dato il mio interesse professionale per le strategie di comunicazione corporate attraverso il web 2.0, ho voluto verificare anche se Microsoft Italia stesse facendo qualcosa per comunicare la propria posizione attraverso il suo corporate blog Mclips.
Con un certo sollievo, invece di un inutile comunicato stampa su Mclips ho trovato un video fresco di pubblicazione in cui si è scelto correttamente di dare voce alle due persone di Microsoft più competenti sull’argomento – Feliciano intini e Luca Colombo – consentendo loro di spiegare rapidamente in cosa consiste il problema e come rimediare (ovvero aggiornando il proprio sistema a Explorer 8).
Una buona idea, che sono sicuro avrebbe funzionato anche meglio se i due ospiti, invece di rispondere a delle domande dirette, avessero parlato a braccio e con maggiore spontaneità, magari rivolgendosi direttamente al pubblico quasi fossero i conduttori di un show televisivo.
Sarà per la prossima volta.
The Web Observer 