3780 Letture

Una vulnerabilità in IE facilita l'uso di Google Desktop per "rubare" dati

Un ricercatore israeliano ha dimostrato come esista la possibilità, da parte di un malintenzionato, di "rubare" informazioni da Google Desktop Search sfruttando una vulnerabilità non risolta di Internet Explorer.
Nella descrizione del problema, Matan Gillon spiega che il problema risiede nelle modalità con cui il browser gestisce i CSS (Cascading Style Sheets) ossia i file testuali che permettono, ad un web designer, di impostare degli stili comuni per la visualizzazione delle varie pagine del suo sito.
Gillon afferma che un aggressore remoto potrebbe impossessarsi di informazioni personali relative all'utente sfruttando proprio questa lacuna di sicurezza. A mero titolo esemplificativo, l'israeliano ha pubblicato il codice proof-of-concept che, non appena aperto in Internet Explorer, provvede ad effettuare una ricerca del termine "password" all'interno del personal computer dell'utente servendosi, in questo caso, di Google Desktop.
Microsoft sta in questo momento studiando il problema. Tom Ferris, già conosciuto per aver scoperto vulnerabilità in molti software, ha fatto notare come il problema ricordi da vicino altre vulnerabilità di Internet Explorer ma anche come lo scopritore sia stato assai creativo pensando al fatto che, tra tutti, Google Desktop potrebbe essere sfruttato per carpire informazioni personali. eEye ha precisato che è Internet Explorer a permettere il recupero dei dati da parte di malintenzionati: Google Desktop Search è "scagionato".
Aggiornamento del 6 Dicembre Google ha annunciato di aver modificato il servizio Google Desktop Search in modo che non possa essere sfruttato, facendo leva sulla vulnerabilità insita in Internet Explorer, per impadronirsi di dati personali. Altri software potrebbero comunque essere utilizzati, in combinazione con il codice pubblicato da Matan Gillon per "rubare" informazioni sensibili.

Una vulnerabilità in IE facilita l'uso di Google Desktop per