Internet Explorer, nuova falla XSS

Internet Explorer, nuova falla XSS

IE risulta bucato, e questa volta si tratta di una vulnerabilità XSS. Coinvolte le versioni aggiornate del browser Microsoft su sistema operativo Windows 7. Una patch è in corso di sviluppo
IE risulta bucato, e questa volta si tratta di una vulnerabilità XSS. Coinvolte le versioni aggiornate del browser Microsoft su sistema operativo Windows 7. Una patch è in corso di sviluppo

Il ricercatore David Leo ha recentemente individuato una nuova vulnerabilità di sicurezza su Internet Explorer, browser che può essere (ab)usato per condurre pericolosi attacchi di Cross-Site Scripting (XSS) contro siti Web ad alto livello di popolarità.

Come spiegato da Leo nella pagina dimostrativa , grazie al nuovo bug un malintenzionato può teoricamente “rubare qualsiasi cosa” da un altro dominio e inserire codice in un dominio esterno. Il baco è stato testato sulla versione più recente di Internet Explorer 11 su OS Windows 7.
La vulnerabilità di Cross-Site Scripting “universale” è una minaccia concreta e pericolosa, avvertono i ricercatori, e anche le misure di sicurezza aggiuntive come Same Origin Policy (SOP) e Content Security Policy possono essere bypassate.

Microsoft, informata nel mese di ottobre , è a conoscenza del problema in IE, e sarebbe al lavoro su una patch correttiva. Tutto sta ora a ipotizzare quando la patch verrà effettivamente rilasciata al pubblico, se a Redmond aspetteranno il tradizionale Patch Tuesday del secondo martedì del mese o si affretteranno i tempi.

La questione dei tempi di distribuzione degli update per vulnerabilità di sicurezza si è fatta spinosa, ultimamente, soprattutto a causa di Google e della policy del suo Project Zero, che prevede la pubblicazione dei dettagli delle falle scaduti i 90 giorni da quando il soggetto vulnerabile è stato informato. Inutile dirlo, tra le “vittime” principali del nuovo regime si conta proprio Microsoft.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 4 feb 2015
Link copiato negli appunti