5491 Letture

Internet Explorer sotto attacco Universal XSS

Uno dei pilastri per una navigazione sicura sul web è la cosiddetta "same origin policy". Si tratta di una regola di cruciale importanza che consente a tutti gli elementi presenti una pagina web (ad esempio il codice JavaScript) l'autorizzazione per l'accesso esclusivo alle risorse veicolate dalle pagine dello stesso sito. Non è invece assolutamente permesso l'accesso alle risorse di altri siti, visualizzate ad esempio nelle pagine HTML aperte nelle altre schede del browser.

Brutta vulnerabilità in Internet Explorer: violata la "same origin policy"

In questi giorni è emersa una pericolosa vulnerabilità di Internet Explorer, che interessa anche la versione più recente del browser (Internet Explorer 11), correttamente aggiornata con tutte le patch rilasciate da parte di Microsoft.
Sfruttando la lacuna di sicurezza un aggressore può riuscire a leggere il contenuto delle informazioni gestite dagli altri siti aperti dall'utente nel browser, sottrarre le informazioni contenute nei cookie (ad esempio dati di autenticazione) e trasmetterle a terzi.


Affinché la vulnerabilità possa essere sfruttata è ovviamente necessario trovarsi a visitare un sito web malevolo, contenente il codice JavaScript capace di far leva sulla falla di sicurezza.
Un portavoce Microsoft ha confermato l'esistenza della problematica assicurando la risoluzione del problema nel più breve tempo possibile e spiegando che la protezione antiphishing di Internet Explorer (SmartScreen) già offre un livello di protezione aggiuntivo.
A tal proposito va detto che SmartScreen difficilmente, secondo noi, permetterà di proteggersi da attacchi non sferrati su larga scala.

Questa pagina mostra un esempio di un possibile attacco. Cliccando sul link, dopo alcuni secondi, la home page del Daily Mail, aperta in un'altra scheda, verrà sostituita con un messaggio arbitrario. È evidente come la stessa tecnica possa essere sfruttata per porre in essere efficaci attacchi phishing.


La falla è stata battezzata "Universal XSS" perché consente all'aggressore di eseguire codice JavaScript nel contesto di qualunque sito web aperto nel browser, indipendentemente dall'esistenza di una vulnerabilità XSS sul sito preso di mira.

Si tratta di un problema particolarmente grave perché interessa anche gli utenti di Internet Explorer 11, sia su Windows 7 che su Windows 8.1.

Allo stato attuale sarebbe preferibile astenersi dall'utilizzare Internet Explorer fintanto che non sarà rilasciata una patch risolutiva.

  1. Avatar
    Sampei Nihira
    06/02/2015 18:29:23
    L'ultima versione di Chrome disponibile ieri: http://googlechromereleases.blogspot.de ... pdate.html benchè si presuma sia "nata" per aggiornare la ver di Flash in realtà chiude ben 11 buchi di sicurezza. Che naturalmente sono nella maggior parte svincolati dal problema presunto. Come mette in evidenza l'avviso sopra. Generalmente ogni browser ha falle di sicurezza. Che sono presenti anche nell'ultima versione ma non sono stati scoperti. Non sarebbe importante il loro numero totale. E' più importante il numero di bugs scoperti dai "soliti noti" e magari eventualmente utilizzato attivamente. E' sottointeso che i "soliti furboni" se scoprono qualche bug che può essere utilizzato per i loro scopi malevoli (cioè di profitto) non lo vanno a spifferare a chi di dovere. P.S. Ecco perchè sarebbe utile utilizzare un anti-exploit che in primis mette al riparo il browser da potenziali exploit.............
  2. Avatar
    zandar
    06/02/2015 17:09:49
    Stiamo ancora aspettando si sapere quale sarebbe questa falla in Chrome...
  3. Avatar
    [Claudio]
    05/02/2015 13:51:04
    Citazione: .... poi non abbiamo menzionato crome che da quando è uscito ha una falla grande come quella che ha affondato il titanic e Microsoft non la ha ancora risolta ....
    Dubito che Microsoft abbia interesse a risolvere ipotetiche falle (grandi come il Titanic, e pure piccole) presenti in Chrome.
    Citazione: ...infatti chissà come mai la maggior parte di malware e compagnia bella se li piglia sempre il furbo che usa crome
    Davvero?. Scusa eh ..... :popcorn:
  4. Avatar
    zandar
    05/02/2015 06:23:54
    Quale falla di Chrome grande come il titanic?
  5. Avatar
    guidogt
    04/02/2015 21:39:35
    secondo mio parere perché una persona deve dire esplicitamente si?...se io dico no non succede nulla...quindi siamo al solito discorso..se sei un giuggiolone non ce niente che tiene...poi non abbiamo menzionato crome che da quando è uscito ha una falla grande come quella che ha affondato il titanic e Microsoft non la ha ancora risolta...infatti chissà come mai la maggior parte di malware e compagnia bella se li piglia sempre il furbo che usa crome
  6. Avatar
    Michele Nasi
    04/02/2015 19:17:24
    Relativamente a questo problema, sì!
  7. Avatar
    gian82
    04/02/2015 17:52:55
    con chrome e firefox stiamo tranquilli?
Internet Explorer sotto attacco Universal XSS - IlSoftware.it