IE7 inciampa in una vecchia debolezza

Anche il nuovo browser soffre, come il predecessore, di una caratteristica che potrebbe consentire ad un sito malintenzionato di modificare il contenuto di un altro sito. Questo comportamento sembra replicabile anche con Firefox

Roma – Negli scorsi giorni la società di sicurezza Secunia ha dichiarato che Internet Explorer 7 è vulnerabile ad una vecchia falla che affliggeva il suo predecessore, IE6. Una falla che può essere utilizzata dai phisher per rendere più credibili le loro truffe online.

Secondo quanto spiegato da Secunia in questo advisory , un sito web maligno può sfruttare la debolezza per modificare il contenuto della finestra di un altro sito : perché questo sia possibile, però, il sito malintenzionato deve conoscere a priori il titolo della finestra popup in cui iniettare i falsi contenuti.

È facile immaginare come questo attacco possa essere sfruttato dai phisher per sostituire il contenuto di un sito conosciuto , come quello di una banca, e rubare i dati personali degli utenti. La falla è mitigata dal fatto che l’indirizzo del sito corrente rimane visibile, ma se combinata con la vulnerabilità riportata la scorsa settimana , un eventuale attacco potrebbe risultare molto convincente.

Secunia ha messo a disposizione questo test per verificare se il proprio browser è vulnerabile.

Un portavoce di Microsoft ha affermato che il comportamento rilevato da Secunia non è una vulnerabilità di IE7 , ma una funzionalità pensata per consentire ad un sito web di riaprire o riutilizzare una finestra. Il big di Redmond sostiene che questo comportamento è comune anche ad altri browser. La conferma sembra arrivare da BetaNews.com , che in questo articolo sostiene di essere riuscito a riprodurre l’attacco anche con Firefox 1.5 e 2.0: in un caso anche con il filtro anti-popup attivato.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    (cylon)(cylon)(cylon)(cylon)(cylon)(cylo
    (cylon)(cylon)(cylon)(cylon)(cylon)(cylon)
  • Anonimo scrive:
    Non ho capito una cosa
    Perchè 20 mbit al sec permetterebbero di non comprimere, e invece 480 mbit/s sarebbero compressi? (ghost)
    • Anonimo scrive:
      Re: Non ho capito una cosa
      Se rileggi meglio l'articolo ti rispondi da solo. 20 Gbits/s sono di più di 3480 mbits/s.
      • avvelenato scrive:
        Re: Non ho capito una cosa
        - Scritto da:
        Se rileggi meglio l'articolo ti rispondi da solo.
        20 Gbits/s sono di più di 3480
        mbits/s.Però non mi sembrano tantissimi, mi sa che i dvd hanno un bitrate superiore, e sono sd, anche usando codec avanzati come faranno a comprimerci dentro un flusso hd?
    • Anonimo scrive:
      Re: Non ho capito una cosa
      - Scritto da:
      Perchè 20 mbit al sec permetterebbero di non
      comprimere, e invece 480 mbit/s sarebbero
      compressi?
      (ghost)20 giga, non 20 mega, sono più di 4 mega (bps).
      • Anonimo scrive:
        Re: Non ho capito una cosa
        ma veramente 20 Gbit sono pari 2,5 MByte...(20.000.000.000 / 8 = 2.500.000)
        • Anonimo scrive:
          Re: Non ho capito una cosa
          - Scritto da:
          ma veramente 20 Gbit sono pari 2,5 MByte...haha no hai sbagliato di un tantinello
          • Super_Treje scrive:
            Re: Non ho capito una cosa
            - Scritto da:

            - Scritto da:

            ma veramente 20 Gbit sono pari 2,5 MByte...


            haha no hai sbagliato di un tantinelloHa sbagliato l'unita' di misura 2,5 GB/sec non MB/sec :)
Chiudi i commenti