Internet Explorer, una pagina malevola può leggere quanto scritto nella barra degli URL

Un ricercatore autonomo, Manuel Caballero, ha scoperto una vulnerabilità in Internet Explorer che può consentire a un aggressore di rilevare e registrare quanto l’utente digita nella barra degli indirizzi del browser.

Il codice da utilizzare è semplicissimo: quanto inserito nella tag html object può interfacciarsi non soltanto con gli elementi nel DOM della pagina ma ha la possibilità – e non dovrebbe averla – di leggere quanto digitato nella barra degli URL.

Chi ancora utilizza Internet Explorer (in Windows 10 il browser è ancora presente solo “dietro le quinte”, sostituito dal nuovo Edge), quindi, deve sapere che – fintanto che Microsoft non avrà rilasciato una patch correttiva – una pagina web può leggere e fare proprio quanto digitato (o incollato) nella barra degli indirizzi.

La dimostrazione di quanto asserito da Caballero è pubblicata a questo indirizzo.
Dopo aver aperto la pagina con Internet Explorer, si provi a digitare un URL qualsiasi: la pagina di test se ne approprierà immediatamente.

Il problema sembra presente in tutte le versioni di Internet Explorer, compresa quella integrata in Windows 10.