Firefox-Internet Explorer: 2 a 2. Il ricercatore Michal Zalewski ha appena pubblicato i dettagli relativi a quattro vulnerabilità di sicurezza scoperte nei due browser. Quella più pericolosa riguarda Internet Explorer e può permettere, se sfruttata da parte di un aggressore, di impossessarsi illegittimamente del contenuto dei cookie memorizzati sul sistema-vittima o di operare modifiche al loro contenuto. Una falla di sicurezza relativa alla gestione di codice Javascript è stata poi rilevata sulle versioni aggiornate di Internet Explorer 6 e 7: in questo caso, un aggressore può essere in grado di eseguire codice con i permessi assegnati alla pagina web precedentemente visitati dall’utente.
Anche Firefox è però foriero di una vulnerabilità piuttosto pericolosa: il problema risiede nella gestione della tag html “IFRAME”. Un utente malintenzionato può far leva su questa lacuna di sicurezza per condurre attacchi “cross-site”. Egli può, ad esempio, servirsi di frame “about:blank” per intercettare le azioni compiute mediante il browser opensource.
Zalewski ha pubblicato un test online che apre una finestra “pop under” unitamente al sito web della CNN. Immediatamente dopo il “pop under” viene chiuso ma i tasti digitati dall’utente sul sito cnn.com vengono intercettati e registrati. E’ ovvio come la vulnerabilità, se sfruttata, possa rappresentare un grosso problema per chi accede a conti correnti bancari online oppure sfrutta servizi di posta basati su interfaccia web. Per difendersi, il consiglio è di accedere a questi siti direttamente, senza passare attraverso link pubblicati su altri siti web o presenti in messaggi di posta elettronica.
La seconda problematica di sicurezza evidenziata in Mozilla Firefox, è collegata con la gestione delle estensioni. La metodologia d’attacco risiede nella possibilità, per un aggressore, di azzare il “countdown” visualizzato da Firefox nel momento in cui si provvede all’istallazione di una qualsiasi estensione. Ciò potrebbe avere, come conseguenza, l’installazione non consensuale di oggetti nocivi.
Quattro vulnerabilità di sicurezza per Firefox ed Internet Explorer
Firefox-Internet Explorer: 2 a 2. Il ricercatore Michal Zalewski ha appena pubblicato i dettagli relativi a quattro vulnerabilità di sicurezza scoperte nei due browser.