Sono stati due giorni davvero intensi. Prima il lancio di IE9 al SXSW di Austin, il giorno successivo il WebCamp per illustrare i nuovi standard web Html5, di cui abbiamo fatto live-coverage via Twitter.
La ricezione del nuovo browser presso la stampa specializzata è stata ottima. Certo ci sono delle eccezioni, come questo articolo di Zdnet che indica cinque motivi per non installarlo, ma la maggior parte delle recensioni sono state entusiastiche. Su tutte forse si distingue per approfondimento dell'analisi e soddisfazione espressa su IE9 quella di Ars Technica.
Tra le molte cose scritte sul nuovo Explorer c'è stata la segnalazione (lanciato a dire il vero più come un allarme che come una notizia) di un bug che renderebbe vulnerabile IE9. Il bug non è nuovo, è stato scoperto un paio di mesi fa e, benché non ancora risolto con una patch, è stato diffuso un fix-it e molte indicazioni su come evitare possibili danni. I danni che fino a qualche giorno fa rimanevano nella dimensione del possibile (si era scoperta cioè la falla ma non era stata sfruttata), in questi giorni di sono materializzati in alcuni attacchi veri e propri, ancorché limitati e circoscritti, come appare dall'aggiornamento del Security Advisory di Microsoft.

Per portare un po' di chiarezza su questo problema di sicurezza ci sono due risorse: la prima è il risultato del contest annuale dedicato all'hacking dei browser, il Pwn2Own, da cui IE9 è uscito indenne. La seconda è la voce di un esperto, anzi dell'esperto di sicurezza di Microsoft Italia, Feliciano Intini. Feliciano ha già trattato della vulnerabilità segnalata in questi giorni in un post che risale a fine gennaio, ma ribadsice alcune questioni di massima sull'argomento:
"Innanzitutto stiamo lavorando a una soluzione che è programmata per un rilascio ordinario; il bug inoltre riguarda un componente di Windows (Mhtml), IE è solo il vettore d'attacco e quindi la versione di IE è irrilevante; infine il tipo di vulnerabilità non è delle più gravi, si tratta infatti di un bug che rende possibile l'Information Disclosure e che è molto meno pericolosa di quelle che abilitano la Remote Code Execution". Ulteriormente semplificato il messaggio è che presto arriverà la patch, che di fatto è Windows a essere vulnerabile e non IE9, e che un attacco che sfruttasse questa vulnerabilità potrebbe carpire informazioni sull'utente, non eseguire codice sulla sua macchina.