I browser inciampano sui tab

Quasi tutti i browser dotati della funzionalità tabbed browsing sono vulnerabili a due problemi di sicurezza sfruttabili da truffatori e spioni. IE ne è immune, sebbene debba fronteggiare due vulnerabilità di diversa natura


Roma – Tutti i principali browser Web dotati della funzionalità di tabbed browsing, che come noto consente di aprire più siti pagine all’interno della stessa finestra, contengono due falle di sicurezza che, seppure non gravi, potrebbero essere sfruttate da webmaster senza scrupoli per carpire informazioni destinate ad altri siti.

La prima vulnerabilità può essere utilizzata da un sito Web malevolo per aprire una finestra di dialogo in un altro tab, inducendo così l’utente a credere che questa appartenga ad un altro sito. La seconda vulnerabilità può invece consentire ad un sito Web malevolo aperto in un tab di rubare i dati inseriti dall’utente in un altro tab. Entrambe interessano tutti i browser basati su Mozilla, incluso Firefox, Netscape, Opera, Konqueror ed altri.

“Non si può parlare di bug veri e propri ma, piuttosto, di debolezze sfruttabili attraverso script JavaScript”, ha commentato Gerardo Di Giacomo, di Zone-h.it . “La prima vulnerabilità può essere sfruttata da un sito Web attraverso uno script che, quando si passa col mouse su di un link, fa partire un timer. Questo timer, impostato ad esempio su 10 secondi dal passaggio del mouse, apre una finestra di dialogo e chiede di inserire una stringa. Nel frattempo, se si clicca sul link e si apre in un nuovo tab, si ha l’impressione che la finestra di dialogo provenga direttamente dal sito che abbiamo aperto (in realtà appartiene al sito in cui è presente il link). Se infatti passiamo con il mouse sul link senza aprirlo, appare comunque la finestra di dialogo. Un utente sbadato potrebbe non accorgersi del problema e inserire informazioni sensibili nel dialog box credendo di inviarle al sito visualizzato nel tab attivo”.

Questo trucco potrebbe essere sfruttato per il cosiddetto “phishing”, replicando ad esempio i campi di una form che si trovano sul sito di una banca o di un negozio on-line.

La seconda vulnerabilità è leggermente più sofisticata e permette ad un sito Web malevolo di ottenere il “fuoco”, ovvero la capacità di catturare i caratteri da tastiera, su di un form anche se si trova in un tab non attivo. Questo fa in modo che quando un utente inserisce dei dati nella form di un tab attivo in realtà ciò che scrive finisce nella form di un altro tab. E’ tuttavia facile accorgersi dell’inganno visto che il testo digitato sul sito in primo piano non viene visualizzato (perché in realtà si sta scrivendo nella form del sito Web malevolo).

Per alcuni browser, tra cui Konqueror, sono già disponibili le patch. Mozilla Foundation conta di correggere il problema con il rilascio dell’ormai imminente versione 1.0. Nel frattempo gli esperti suggeriscono agli utenti di disattivare JavaScript.

Su sito di Secunia è possibile verificare la vulnerabilità del proprio browser a simili attacchi qui e qui .

Negli scorsi giorni sono state rivelate anche due vulnerabilità di Internet Explorer 6, entrambe varianti di una falla nella funzionalità drag-and-drop di IE corretta da Microsoft proprio questo mese. Secunia, che ha classificato le due falle come “highly critical”, ha spiegato che possono essere sfruttate da un aggressore per eseguire uno script con gli stessi privilegi dell’utente o eseguire documenti HTML memorizzati in locale. Secondo gli esperti di sicurezza il problema è riscontrato anche sui sistemi dove sia stato installato il Service Pack 2 per Windows XP.

“Microsoft sostiene che per sfruttare questa vulnerabilità c’è bisogno dell’interazione dell’utente, quindi risulta difficile la creazione di un worm, anche se tale eventualità non è comunque da non escludere”, ha detto Di Giacomo. “In attesa di una patch, è consigliabile disattivare l’esecuzione dei controlli ActiveX”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Prossima release
    Sembra promettente, magari è la volta buona che lo fanno un po' più leggero e veloce:http://www.pcstuff.dk/articles/ooo19m54/index.html
  • Anonimo scrive:
    Software Open... e GDF
    e intanto la nostra GdF, degna delle barzellette, và a comprare software da SCO.....La cosa è risibile fino alla burla.E' degna del famoso finanziere che ha multato il ragazzino per non avere lo scontrino del dolcetto comprato nel negozio .....
    • Anonimo scrive:
      Re: Software Open... e GDF
      - Scritto da: Anonimo
      e intanto la nostra GdF, degna delle
      barzellette, và a comprare software
      da SCO.....
      La cosa è risibile fino alla burla.
      E' degna del famoso finanziere che ha
      multato il ragazzino per non avere lo
      scontrino del dolcetto comprato nel negozio ^^^^^^^^non fare il furbo ! era un pericolosissimo sacchetto di patatine !:D
      • pippo75 scrive:
        Re: Software Open... e GDF


        E' degna del famoso finanziere che ha

        multato il ragazzino per non avere lo

        scontrino del dolcetto comprato nel
        negozio
        &nb

        non fare il furbo ! era un pericolosissimo
        sacchetto di patatine !
        :Dquello che avevo sentito io era un lecca-lecca che il negoziante gli aveva regalato, se non ricordo male era successo a Novara (il paese pero' potrei sbagliarlo).secondo voi questo sono finte o verehttp://www.maidire.net/public/forum/messages/3348/4058.html?1079815125ciao
  • Santos-Dumont scrive:
    Precisazione sul Brasile
    Relegarlo a "paese in via di sviluppo" è improprio, dato che si colloca tra le prime 10 potenze industriali al mondo (se poi tale definizione deriva dal numero di poveri, dovreste dare un'occhiata a certe aree degli Stati Uniti e quindi rivedere certe categorie.)
  • pikappa scrive:
    al di là di open vs closed
    "Le funzionalità addizionali di MS Office 2003 non sembrano giustificare i suo prezzo elevato", ha sostenuto Cheok Beng Teck, chief information officer del Ministero della Difesa di Singapore.queste sono le considerazioni che andrebbero fatte ogni volta che si aggiorna un software
    • Anonimo scrive:
      Re: al di là di open vs closed
      - Scritto da: pikappa
      "Le funzionalità addizionali di MS
      Office 2003 non sembrano giustificare i suo
      prezzo elevato", ha sostenuto Cheok Beng
      Teck, chief information officer del
      Ministero della Difesa di Singapore.

      queste sono le considerazioni che andrebbero
      fatte ogni volta che si aggiorna un softwaremmmm... "information officer del Ministero della Difesa di Singapore"....mmazza... un vero esperto di informatica.Probabilmente ha finora usato word solo per scrivere il suo super curriculum....Ma mi faccia il piacere... open office può essere appena paragonato a MS Office 2.0
      • Anonimo scrive:
        Re: al di là di open vs closed

        Ma mi faccia il piacere... open office
        può essere appena paragonato a MS
        Office 2.0Mah... Può darsi... a me sembra che il livello sia almeno (alMENO!!) quello dell'Office 4.2/95, forse il 97, o forse più, certo non di meno. Comunque..... non ti è mai passato per la testa nemmeno per un attimo che forse non c'è davvero bisogno dei milioni di funzioni un po' fronzole di Office 2003? Se Office 2.0 faceva degnamente il suo lavoro, e delle funzioni aggiuntive dei suoi successori non se ne sente tuttora il bisogno, perché cambiarlo, costringendosi a investire in hardware e software sempre più pompato per fare esattamente le cose che facevi prima?
        • Anonimo scrive:
          Re: al di là di open vs closed
          perchè c'è chi le usa. Chi no le usa di solito lo prende pirata cioè a zero come open office. E a parità di prezzo anche il principiante lo preferisce. Certamente quelli di singapore fanno bene a risparmiare ma si tengano sempre qualche copia a portata di mano.
          • Anonimo scrive:
            Re: al di là di open vs closed
            sei tu che devi fare quello chefanno loro e non viceversaper il semplice fatto che si tratta di paesi avanzati più del ns con una cultura informaticadecisamente superiorehai idea di cosa voglia direavere un linux con openofficeinterfacciato a mysql ?significa avere delle possiblitàdi programmazione che con leciofeche che usi tu semplicementedi scordi, a costo zerosemplicemente non esiste paragonee i paesi più evoluti lo hanno capito daun pò...
  • Anonimo scrive:
    Nuove vacanze di lavoro asiatiche......
  • Anonimo scrive:
    Singapore!
    Singapore....vado a Singaporevi saluto care signore.....W L' Open Source!
    • Anonimo scrive:
      Re: Singapore!
      - Scritto da: Anonimo
      Singapore....vado a Singapore
      vi saluto care signore.....
      W L' Open Source!Fosse la volta buona che ti levi dalle Scatole CaCa
    • LordBison scrive:
      Re: Singapore!
      - Scritto da: Anonimo
      Singapore....vado a Singapore
      vi saluto care signore.....
      W L' Open Source!Se propio devo andare in un paese che ha sceltro l'opensource vado in Brasile li ci sono anche bei chapet :D
    • Anonimo scrive:
      Re: Singapore!
    • Gipi scrive:
      Re: Singapore!
      - Scritto da: Anonimo
      Singapore....vado a SingaporeSei sicuro? :Dhttp://slashdot.org/articles/04/10/22/1442244.shtml?tid=126&tid=133
  • Anonimo scrive:
    Oh Signore...
    ...dacci oggi la nostra illusione quotidianaP.S. il post vuole ironizzare sull'openoffice, non su linux e non a favore d MS, ciao.
    • Anonimo scrive:
      Re: Oh Signore...
      - Scritto da: Anonimo
      ...dacci oggi la nostra illusione quotidiana
      ah beh..,.

      P.S. il post vuole ironizzare
      sull'openoffice, non su linux e non a favore
      d MS, ciao.mi sembra una cazzata cmq, però fai tu
Chiudi i commenti