Come informa Microsoft con il documento KB2887505, il modulo mshtml.dll di Internet Explorer dalla versione 6 alla 11 compresa presenta una grave vulnerabilità di sicurezza, che può essere utilizzata per iniettare codice dannoso tramite JavaScript. Poiché la vulnerabilità viene già sfruttata attivamente, Microsoft ha reso disponibile un hotfix CVE-2013-3893, che per ora funziona solo in Internet Explorer 8 o 9. Gli utenti delle altre versioni devono impostare le impostazioni del modulo in modo da poterlo utilizzare in modo corretto. Gli utenti di altre versioni dovrebbero impostare le impostazioni della zona Internet e della zona Intranet locale su “Alto” per bloccare i controlli ActiveX e l’Active Scripting in queste zone.
Anche Microsoft Outlook, ad esempio, che utilizza la tecnologia IE per la visualizzazione dell’HTML, è interessato dal problema.
Addendum del 08.10.2013: il bug dovrebbe essere risolto con la correzione MS13-080.
Fonte immagine: Microsoft