Internet Explorer, nuova falla XSS

IE risulta bucato, e questa volta si tratta di una vulnerabilità XSS. Coinvolte le versioni aggiornate del browser Microsoft su sistema operativo Windows 7. Una patch è in corso di sviluppo

Roma – Il ricercatore David Leo ha recentemente individuato una nuova vulnerabilità di sicurezza su Internet Explorer, browser che può essere (ab)usato per condurre pericolosi attacchi di Cross-Site Scripting (XSS) contro siti Web ad alto livello di popolarità.

Come spiegato da Leo nella pagina dimostrativa , grazie al nuovo bug un malintenzionato può teoricamente “rubare qualsiasi cosa” da un altro dominio e inserire codice in un dominio esterno. Il baco è stato testato sulla versione più recente di Internet Explorer 11 su OS Windows 7.
La vulnerabilità di Cross-Site Scripting “universale” è una minaccia concreta e pericolosa, avvertono i ricercatori, e anche le misure di sicurezza aggiuntive come Same Origin Policy (SOP) e Content Security Policy possono essere bypassate.

Microsoft, informata nel mese di ottobre , è a conoscenza del problema in IE, e sarebbe al lavoro su una patch correttiva. Tutto sta ora a ipotizzare quando la patch verrà effettivamente rilasciata al pubblico, se a Redmond aspetteranno il tradizionale Patch Tuesday del secondo martedì del mese o si affretteranno i tempi.

La questione dei tempi di distribuzione degli update per vulnerabilità di sicurezza si è fatta spinosa, ultimamente, soprattutto a causa di Google e della policy del suo Project Zero, che prevede la pubblicazione dei dettagli delle falle scaduti i 90 giorni da quando il soggetto vulnerabile è stato informato. Inutile dirlo, tra le “vittime” principali del nuovo regime si conta proprio Microsoft.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Funz scrive:
    AdAway e Disconnect
    Anche sul cellulare ci si può difendere dalla pubblicità.
  • bubba scrive:
    Durak & co
    app Durak & co : la cosa triste e' che ormai si fa fatica a distinguere la differenza tra "legittimo" social/ads/marketing/spam harvesting e quello "illegale", piazzato in queste simpatiche apps (russe, as usual). :P
    • Izio01 scrive:
      Re: Durak & co
      - Scritto da: bubba
      app Durak & co : la cosa triste e' che ormai si
      fa fatica a distinguere la differenza tra
      "legittimo" social/ads/marketing/spam harvesting
      e quello "illegale", piazzato in queste
      simpatiche apps (russe, as usual).
      :PFossero solo le app... se vai sulla Wiki di Destiny, il gioco multiplayer di Bungie, e inizi a girare un po' di pagine, tra armi, posizione degli obiettivi di missione e il resto, bè... diciamo che rischi che ti si aprano pagine potenzialmente imbarazzanti :$Ci sono rimasto abbastanza basito.
      • Guybrush scrive:
        Re: Durak & co
        - Scritto da: Izio01
        Fossero solo le app... se vai sulla Wiki di
        Destiny, il gioco multiplayer di Bungie, e inizi
        a girare un po' di pagine, tra armi, posizione
        degli obiettivi di missione e il resto, bè...
        diciamo che rischi che ti si aprano pagine
        potenzialmente imbarazzanti
        :$
        Ci sono rimasto abbastanza basito....che pagine?Non ho trovato nulla di imbarazzante. Devo disattivare ADBlock?GTGT
        • Izio01 scrive:
          Re: Durak & co
          - Scritto da: Guybrush
          - Scritto da: Izio01


          Fossero solo le app... se vai sulla Wiki di

          Destiny, il gioco multiplayer di Bungie, e inizi

          a girare un po' di pagine, tra armi, posizione

          degli obiettivi di missione e il resto, bè...

          diciamo che rischi che ti si aprano pagine

          potenzialmente imbarazzanti

          :$

          Ci sono rimasto abbastanza basito.
          ...che pagine?
          Non ho trovato nulla di imbarazzante.
          Devo disattivare ADBlock?

          GTPresumo di sì, io non lo uso.Dalla pagina dell'elenco delle apparizioni di Xur, saltando alle caratteristiche dell'arma esotica in vendita in quel weekend, mi sono ritrovato su un sito di webcam osé. Ero col cellulare, avrò anche cliccato nel posto sbagliato, durante il reflow della pagina (e le ditone non aiutano) però effettivamente è un tipo di pubblicità che trovo poco appropriato per un sito di gaming. Poi chi se ne frega, il telefono è mio e non c'è nessuno che mi rompa le scatole.Diciamo che questo tipo di approccio giustifica parzialmente l'utilizzo di AdBlock e cose simili. Non è per rompere le scatole a te che lo usi, è solo come la penso io: grazie alla pubblicità abbiamo siti gratis, non mi sembra giusto bloccarla. Se non sono d'accordo con il modo in cui un sito la utilizza, piuttosto mi sembra corretto mollare il sito.
          • 489253 scrive:
            Re: Durak & co
            - Scritto da: Izio01
            Se non sono d'accordo con il modo in
            cui un sito la utilizza, piuttosto mi sembra
            corretto mollare il sito.E come fai a venire su PI ?io l'ultima volta c'erano squilli di trombe a tutto volume, filmati in flash a tutta pagina, pagliacci che uscivano dal monitor !
    • panda rossa scrive:
      Re: Durak & co
      - Scritto da: bubba
      app Durak & co : la cosa triste e' che ormai si
      fa fatica a distinguere la differenza tra
      "legittimo" social/ads/marketing/spam harvesting
      e quello "illegale", piazzato in queste
      simpatiche apps (russe, as usual).
      :PPensa che io invece faccio fatica a vederle.Se non fosse per PI che ogni tanto se ne esce con questi articoli che parlando di fantomatiche pubblicita' su web e sui telefoni, io ne sarei totalmente all'oscuro.
      • Hop scrive:
        Re: Durak & co
        - Scritto da: panda rossa
        - Scritto da: bubba

        app Durak & co : la cosa triste e' che ormai
        si

        fa fatica a distinguere la differenza tra

        "legittimo" social/ads/marketing/spam
        harvesting

        e quello "illegale", piazzato in queste

        simpatiche apps (russe, as usual).

        :P

        Pensa che io invece faccio fatica a vederle.
        Se non fosse per PI che ogni tanto se ne esce con
        questi articoli che parlando di fantomatiche
        pubblicita' su web e sui telefoni, io ne sarei
        totalmente
        all'oscuro.Hai sempre il 3310? :D
        • panda rossa scrive:
          Re: Durak & co
          - Scritto da: Hop
          - Scritto da: panda rossa

          - Scritto da: bubba


          app Durak & co : la cosa triste e' che
          ormai

          si


          fa fatica a distinguere la differenza
          tra


          "legittimo" social/ads/marketing/spam

          harvesting


          e quello "illegale", piazzato in queste


          simpatiche apps (russe, as usual).


          :P



          Pensa che io invece faccio fatica a vederle.

          Se non fosse per PI che ogni tanto se ne
          esce
          con

          questi articoli che parlando di fantomatiche

          pubblicita' su web e sui telefoni, io ne
          sarei

          totalmente

          all'oscuro.
          Hai sempre il 3310? :DSi, ma in questo caso mi riferivo ad uno smartphone android.
Chiudi i commenti