In IE uno spiffero pro-phisher

Roma – Un esperto di sicurezza di nome Hai Nam Luke ha scoperto una debolezza in Internet Explorer che potrebbe andare a vantaggio dei phisher. Il problema, secondo quanto spiegato in questo advisory di Secunia, è da ricondurre ad un errore nel codice di IE che gestisce il caricamento di certi contenuti web, ed in particolare i file in formato Flash (.swf).

Questa vulnerabilità potrebbe essere sfruttata da un malintenzionato per mascherare il vero URL di un sito – quello mostrato nella barra degli indirizzi del browser – con uno falso: una tecnica di cui in passato i phisher si sono spesso avvalsi per indurre gli utenti a fidarsi di un sito truffaldino.

Secunia afferma di aver verificato la presenza della falla sia in IE 6.0 che nella recente IE7 Beta 2 Preview di marzo (build 5335). In realtà, utilizzando il test on-line di Secunia con l'ultima release di IE7, in redazione si sono sperimentati ripetuti crash del browser : al momento del crash, tuttavia, il browser mostrava il corretto URL della pagina visualizzata (e questo anche con la funzione antiphishing disattivata).

A mitigare la pericolosità della debolezza interviene il fatto che nel titolo della finestra del browser, l'URL dei file Flash viene sempre riportato in modo corretto.

In attesa che Microsoft corregga il bug, gli esperti suggeriscono agli utenti di disattivare dalle opzioni del browser l'esecuzione degli script attivi.