eBay, vulnerabilità senza patch

Lo storico portale di e-commerce affetto da un bug di sicurezza potenzialmente molto grave, un problema che eBay tende a minimizzare e che in ogni caso resterà "impunito". Misure di controllo aggiuntive inibiranno gli attacchi

Roma – Gli analisti di Check Point hanno scovato una pericolosa vulnerabilità di sicurezza nel codice di eBay, una falla che potrebbe essere sfruttata da cracker e cyber-criminali per campagne di phishing o distribuzione di software malevolo tramite script appositamente progettati. Avvisata dell’esistenza del problema, eBay ha però deciso di non mettere mano ai sorgenti: il rischio è estremamente basso, sostiene la società.

Le aste aperte dagli utenti su eBay includono codice “attivo” ma non permettono di utilizzare codice JavaScript, iframe o altri script ospitati da server esterni, ma i ricercatori israeliani sono riusciti a bypassare le restrizioni servendosi di una tecnica di programmazione estrema nota come JSFuck .

Modificando appena sei caratteri, gli esperti sono riusciti a visualizzare un messaggio di pop-up con la richiesta di visitare un sito esterno al portale di e-commerce; un meccanismo del genere potrebbe tornare utile per l’esecuzione di codice malevolo da remoto, la diffusione di malware o per altre attività cyber-criminali – sia su gadget mobile che su browser Web per computer.

Il rischio potenziale è enorme, visto che eBay è utilizzato da 162 milioni di utenti in 30 paesi diversi, e la società americana è stata informata dell’esistenza della falla già dallo scorso 15 dicembre. Tuttavia, eBay ha comunicato ufficialmente di non pianificare l’installazione di alcuna patch correttiva al codice del sito.

La presenza di codice malevolo sul marketplace è un evento “straordinariamente raro”, si è giustificata eBay , e riguarda meno di due aste per milione basate sull’utilizzo di contenuti attivi; la società ha in ogni caso implementato “vari filtri di sicurezza” aggiuntivi basati sulle analisi e il lavoro di codice di Check Point.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • mat650 scrive:
    Decentralizzare
    Dico solo Storj, MaidSafe, Sia. Per chi volesse approfondire il tema della Cloud Decentralizzata ed OpenSource senza dover passare dall'intermediazione superflua e dannosa di Microsoft
  • DevelHopper scrive:
    Definizioni semplici per utenza "media"
    1) cloud....Il (o i) computer di un altro gestito da un altro secondo gli interessi e le politiche di un altro su cui hai parcheggiato gli <b
    ex </b
    -tuoi-dati.e l' <b
    ex </b
    -tuo lavoro.2) Piattaforma social....Lo stesso che al punto numero 1 ma con la partecipazione dei dati dei "tuoi amici e conoscenti" e del gattino di cui alla foto condivisa.3) Privacy... quello cui per certo rinunci vedi punto 1 e punto 2.4) PanzonWare...Le ultime direttive sul software Microsoft lasciate da Ballmer.5) SatyaWare....la stessa cosa di cui al punto 4 ma col supporto ai punti 1 e 2.Ho dimenticato nulla? :D
  • Zucca Vuota scrive:
    Re: ma quale cloud!
    Il cloud è un modello (economico non tecnico) di approvvigionamento di risorse informatiche.Se ti servono 10 server per 10 giorni per fare delle analisi e sei una piccola azienda non te lo puoi permettere usando un modello classico on-premise. Se usi il cloud sì.
  • xx tt scrive:
    Re: ma quale cloud!
    Rimane da sperare che i servizi di Cloud open source, da farsi rigorosamente on premise, vengano preferiti alle mazzette.Ma sono ottimista. Alla fine dopo aver visto cosa può costare finire tra le zampe della M$, anche gli AD dovrebbero riuscire a rinsavirsi (soprattutto quelli con le chiappe a portata di azionista).
  • xx tt scrive:
    Abile mossa: lo spyCloud negli ISP
    "Un'opportunità per i service provider per diventare fornitori di servizi cloud ai propri clienti."Mossa molto interessante da parte del Padella: piazzare lo spyCloud direttamente negli ISP così da spiare indirettamente tutti partendo dalla connessione web. E far pagare lo spionaggio direttamente ai naviganti, che dovranno pagare un po' di più l'ISP per i nuovissimi "servizi".Tanto ufficialmente lo spyCloud sarebbe gestito al 100% dall'ISP...quindi a mamma M$ non arriverebbe teoricamente nulla. Mi vedo già la pubblicità "closed is safe" con l'immagine della cassaforte. :)E vedrete che con delle mazzette adeguate gli AD non avranno difficoltà a crederci.
    • Zucca Vuota scrive:
      Re: Abile mossa: lo spyCloud negli ISP
      Ma il cloud sapete cos'è? Non mi sembra proprio.Se poi pensate di essere più sicuri con un data center di un ISP locale che con un data center di Microsoft allora siete degli illusi.
      • Max scrive:
        Re: Abile mossa: lo spyCloud negli ISP
        Inutile, lascia perdere, questi pensano che il Cloud siano Dropbox e simili, se va bene, o un hard disk messo da qualche parte, se va male. Qui, al massimo, puoi disquisire se l'aria è meglio friggerla con l'olio o il burro.
        • quando imparerete scrive:
          Re: Abile mossa: lo spyCloud negli ISP
          [img]http://fsfe.org/contribute/promopics/thereisnocloud-v2-preview.png[/img]
      • xx tt scrive:
        Re: Abile mossa: lo spyCloud negli ISP

        Ma il cloud sapete cos'è? Non mi sembra proprio.E tu lo sai cosè, lo spyCloud?
        Se poi pensate di essere più sicuri con un data
        center di un ISP locale che con un data center di
        Microsoft allora siete degli
        illusi.Rispetto allo spyCloud della M$, credo che mi sentirei più sicuro passando per il server di Totò Riina, tanto per capirci. Almeno quello funziona a pizzini e forse qualche dato gli sfugge...
  • AxAx scrive:
    Auguri.
    Di certo per quanto mi riguarda non mi ci vedrete mai.
    • xx tt scrive:
      Re: Auguri.
      Se si avverasse questa magnificissima:"...opportunità per i service provider per diventare fornitori di servizi cloud ai propri clienti."Avresti ben poco da rifiutare...avresti lo spyCloud dall'altra parte del router e dovresti navigare USANDO di fatto lo spyCloud. Pagando per essere sp...ehm...contribuire al miglioramento dell'esperienza user da parte dei partner M$.
  • ... scrive:
    anche senza leggere l'articolo...
    so gia' che e' un marchettone furibondo: microsoft + annunziata e-non-dico-altro
  • prova123 scrive:
    Per raccontare la strategia di Redmond
    nella rotta verso la nuvola ..."seconda stella a destra questo è il cammino e poi dritto sino al mattino (cit.)" ma possono tranquillamente continuare ad oltranza :D
    • omino123 scrive:
      Re: Per raccontare la strategia di Redmond
      - Scritto da: prova123
      nella rotta verso la nuvola ...
      "seconda stella a destra questo è il cammino e
      poi dritto sino al mattino (cit.)" ma possono
      tranquillamente continuare ad oltranza
      :DBastano 123 volte? tanto è solo una prova!(rotfl)(rotfl)
  • Tizio Nuvolari scrive:
    Il cloud di Microsoft
    [img]http://www.littlepurplebarn.com/wp-content/uploads/2013/01/Thank-you-but-no-87060350871.jpeg[/img]
  • Cortigiana scrive:
    Roadmap precisa?
    " manca per ora una roadmap precisa di come si evolverà questo prodotto, ma verrà probabilmente fornita contestualmente all'annuncio della data ufficiale di rilascio finale."Tanto, vista la puntualità con la quale rispettano le roadmap di tutti i loro software, non ci faremo certo venire l'ansia.
Chiudi i commenti