IE, utenti spiati dalla barra degli indirizzi

Un ricercatore indipendente dimostra l'ennesima vulnerabilità di Internet Explorer. E gli impatti sulla privacy degli utenti sono aggravati dal fatto che il vetusto browser Microsoft è ancora il secondo più usato dagli internauti

Roma – Un ex dipendente Microsoft, Manuel Caballero, ora Security Researcher indipendente, ha da poco scovato un bug in Internet Explorer 11 che comporta spiacevoli conseguenze per la privacy degli utenti.
Il bug consente ad un webmaster di ottenere dati relativi alle ricerche in procinto di essere effettuate , poiché permette di visualizzare il contenuto della barra degli indirizzi, abilitando semplicemente la modalità di compatibilità all’interno di una pagina Web.

Il problema si manifesta nel momento in cui si integra un contenuto HTML all’interno di un tag <object> , nel caso in cui sia presente il meta tag di compatibilità con Internet Explorer 8: come si evince dall’immagine sottostante, il codice JavaScript eseguito all’interno di un blocco ritiene di trovarsi all’interno della finestra principale, dunque è in grado di accedere ad oggetti e proprietà pur senza averne il diritto. Nel caso in cui il meta tag di compatibilità non sia presente, tutto funziona correttamente.

bug object tag

Caballero ha quindi tentato di effettuare un attacco di tipo UXSS (Universal Cross-Site Scripting) , tentando di cambiare il valore del parametro ereditato location.href , fortunatamente senza avere successo. Ciononostante, è riuscito con poche righe di codice a leggerne il valore , all’interno dell’evento Javascript onbeforeunload , riuscendo a stampare non la URL del sito corrente, bensì il contenuto della barra degli indirizzi del browser presente in quel preciso istante, cioè le parole chiave di una ricerca , oppure un link sul punto di essere caricato.

Le prove di funzionamento del bug sono disponibili sia su YouTube , sia su una pagina Web appartenente allo stesso Caballero. Ovviamente, il bug non si manifesta utilizzando altri browser.

La vulnerabilità è resa ancor più grave dal fatto che le varie versioni di Internet Explorer sono tuttora utilizzate da molti più utenti di quanti non usino il nuovo browser Microsoft Edge, il 15 per cento contro poco più del 5 per cento; stando alle stime di Net Market Share , Internet Explorer è ancora il secondo browser più diffuso .

diffusione browser web attuale

Il ricercatore, che nei mesi passati ha pubblicato e dimostrato altre gravi vulnerabilità del browser, che consentono di persistere l’esecuzione di codice JavaScript dopo aver abbandonato un sito Internet , e di aggirare il fatiscente blocco dei pop-up , auspica che Internet Explorer venga tenuto al passo di Edge almeno per quanto riguarda la sicurezza, oppure che venga abbandonato in maniera esplicita e definitiva .

Elia Tufarolo

Fonte Immagini: 1 , 2 , 3

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Soloperoggi scrive:
    Non ho capito...
    Google deve partecipare ad una asta pubblica per mettere un suo servizio in una sua pagina?
  • mementomori scrive:
    libero mercato
    non si possono battere i grandi sulle vendite di articoli di produzione di massa.I piccoli o fanno artigianato (quindi inimitabile) o si fanno da parte
Chiudi i commenti