Falla Javascript, molti browser a rischio

Una vulnerabilità da poco scoperta può costituire un pericolo per tutti gli utenti, anche quelli protetti da un firewall, che usino un browser con supporto a Javascript
Una vulnerabilità da poco scoperta può costituire un pericolo per tutti gli utenti, anche quelli protetti da un firewall, che usino un browser con supporto a Javascript


Roma – Tutti i browser integranti il supporto a Javascript contengono una vulnerabilità di sicurezza nella funzionalità “Same Origin Policy” del linguaggio di scripting, una vulnerabilità che potrebbe aprire le porte ai cracker. L’avviso arriva dall’esperto di sicurezza Adam Megacz che, attraverso un dettagliato advisory , ha spiegato che l’exploit può consentire ad un aggressore di utilizzare qualsiasi browser capace di interpretare Javascript per rubare informazioni attraverso il comando HTTP GET e interagire con ogni server Web: questo anche nel caso in cui client e server siano protetti da un firewall.

Megacz ha scoperto la vulnerabilità il 25 giugno e, con il supporto della celebre mailing list di sicurezza BugTraq, ne ha dato pronta notifica a tutti i vendor interessati e ha atteso fino ad ora prima di rendere la cosa di dominio pubblico.

Nel suo avviso Megacz ha specificato che se il browser in uso è Internet Explorer 5.0+, Mozilla o Netscape 6.2+, l’aggressore ha una chance in più di aggirare i firewall facendo chiamate dirette ai server Web che supportano SOAP e XML-RPC.

Per sfruttare la falla un aggressore deve indurre l’utente a visitare una certa pagina che si trovi nel suo stesso dominio di appartenenza (ad esempio, baz.com). Microsoft ha minimizzato la pericolosità del problema sostenendo che le possibilità di un attacco di questo tipo sono assai remote dato che è necessario che l’aggressore controlli il dominio a cui appartiene l’utente: per questo motivo il big di Redmond non prevede al momento il rilascio di alcuna patch.

Link copiato negli appunti

Ti potrebbe interessare

30 07 2002
Link copiato negli appunti