Scoperti quattro bug nei due browser. La più pericolosa riguarda il software di Microsoft.
Firefox-Internet Explorer: 2 a 2.
Il ricercatore Michal Zalewski ha
appena pubblicato i dettagli relativi a quattro vulnerabilità di sicurezza
scoperte nei due browser.
Quella più pericolosa riguarda Internet
Explorer e può permettere, se sfruttata da parte di un aggressore, di
impossessarsi illegittimamente del contenuto dei cookie memorizzati sul
sistema-vittima o di operare modifiche al loro contenuto.
Una falla di
sicurezza relativa alla gestione di codice Javascript è stata poi rilevata sulle
versioni aggiornate di Internet Explorer 6 e 7: in questo caso, un aggressore
può essere in grado di eseguire codice con i permessi assegnati alla pagina web
precedentemente visitati dall’utente.
Anche Firefox è però foriero di
una vulnerabilità piuttosto pericolosa: il problema risiede nella gestione della
tag html “IFRAME”. Un utente malintenzionato può far leva su questa lacuna di
sicurezza per condurre attacchi “cross-site”. Egli può, ad esempio, servirsi di
frame “about:blank” per intercettare le azioni compiute mediante il browser
opensource.
Zalewski ha pubblicato un test online che apre una finestra
“pop under” unitamente al sito web della CNN. Immediatamente dopo il “pop under”
viene chiuso ma i tasti digitati dall’utente sul sito cnn.com vengono
intercettati e registrati. E’ ovvio come la vulnerabilità, se sfruttata, possa
rappresentare un grosso problema per chi accede a conti correnti bancari online
oppure sfrutta servizi di posta basati su interfaccia web.
Per difendersi,
il consiglio è di accedere a questi siti direttamente, senza passare attraverso
link pubblicati su altri siti web o presenti in messaggi di posta elettronica.
La seconda problematica di sicurezza evidenziata in Mozilla Firefox, è
collegata con la gestione delle estensioni. La metodologia d’attacco risiede
nella possibilità, per un aggressore, di azzare il “countdown” visualizzato da
Firefox nel momento in cui si provvede all’istallazione di una qualsiasi
estensione.
Ciò potrebbe avere, come conseguenza, l’installazione non
consensuale di oggetti nocivi.
