themonster91
00venerdì 1 luglio 2005 00:35
L'allarme arriva, come molte altre volte, dalla specialista danese Secunia. La società scandinava segnala pericoli nell'esecuzione di caselle di dialogo contenenti JavaScript. Microsoft nega l'eventualità di una patch su misura.
Tutti i browser Web aperti al rischio di phishing? Per Secunia è proprio così: l'azienda danese lancia l'allarme sostenendo che "le finestre di dialogo JavaScript non visualizzano correttamente la propria origine, e questo permette a una nuova finestra di aprire form e informazioni che sembrano provenire da un sito Web fidato".
Questa pecca di base può essere sfruttata "se l'utente è spinto ad aprire un link verso una pagina apparentemente degna di fiducia". In altri termini, se l'opera del ladro di identità (e credenziali) di turno va a buon fine.
Secunia ha pubblicato una proof of concept al riguardo, che dimostra come chi visita Google possa ricevere informazioni apparentemente provenienti da questo dominio e in realtà originate da una terza parte. Se la situazione di verificasse per istituzioni finanziarie, conti on line e simili, il pericolo sarebbe reale.
Il bug riguarda Internet Explorer, i browser della famiglia Mozilla (tra cui Firefox) e quelli basati su Khtml (quali Safari): il solo Opera 8.0.1 ne è immune, perché l'azienda norvegese ha rilasciato una specifica patch pochi giorni fa.
Da quel di Redmond la posizione, tuttavia, è chiara: "Si tratta di un esempio di come le attuali funzioni dei browser Web possano essere utilizzati per tentativi di phishing". Quindi, più che un bug sarebbe una sorta di "rischio fisiologico". E quindi - anche se Secunia sostiene di avere messo al corrente del fatto l'azienda di Redmond più di un mese fa - non ci saranno specifiche patch per Explorer.
Gli altri vendor, per ora, non hanno preso una posizione altrettanto ferma: in attesa di una eventuale soluzione, bisogna affidarsi a buonsenso e prudenza. Sperando che basti.
Fonte Mytech