Uno dei pilastri per una navigazione sicura sul web è la cosiddetta “same origin policy“. Si tratta di una regola di cruciale importanza che consente a tutti gli elementi presenti una pagina web (ad esempio il codice JavaScript) l’autorizzazione per l’accesso esclusivo alle risorse veicolate dalle pagine dello stesso sito. Non è invece assolutamente permesso l’accesso alle risorse di altri siti, visualizzate ad esempio nelle pagine HTML aperte nelle altre schede del browser.
Brutta vulnerabilità in Internet Explorer: violata la “same origin policy”
In questi giorni è emersa una pericolosa vulnerabilità di Internet Explorer, che interessa anche la versione più recente del browser (Internet Explorer 11), correttamente aggiornata con tutte le patch rilasciate da parte di Microsoft.
Sfruttando la lacuna di sicurezza un aggressore può riuscire a leggere il contenuto delle informazioni gestite dagli altri siti aperti dall’utente nel browser, sottrarre le informazioni contenute nei cookie (ad esempio dati di autenticazione) e trasmetterle a terzi.
Affinché la vulnerabilità possa essere sfruttata è ovviamente necessario trovarsi a visitare un sito web malevolo, contenente il codice JavaScript capace di far leva sulla falla di sicurezza.
Un portavoce Microsoft ha confermato l’esistenza della problematica assicurando la risoluzione del problema nel più breve tempo possibile e spiegando che la protezione antiphishing di Internet Explorer (SmartScreen) già offre un livello di protezione aggiuntivo.
A tal proposito va detto che SmartScreen difficilmente, secondo noi, permetterà di proteggersi da attacchi non sferrati su larga scala.
Questa pagina mostra un esempio di un possibile attacco. Cliccando sul link, dopo alcuni secondi, la home page del Daily Mail, aperta in un’altra scheda, verrà sostituita con un messaggio arbitrario. È evidente come la stessa tecnica possa essere sfruttata per porre in essere efficaci attacchi phishing.
La falla è stata battezzata “Universal XSS” perché consente all’aggressore di eseguire codice JavaScript nel contesto di qualunque sito web aperto nel browser, indipendentemente dall’esistenza di una vulnerabilità XSS sul sito preso di mira.
Si tratta di un problema particolarmente grave perché interessa anche gli utenti di Internet Explorer 11, sia su Windows 7 che su Windows 8.1.
Allo stato attuale sarebbe preferibile astenersi dall’utilizzare Internet Explorer fintanto che non sarà rilasciata una patch risolutiva.