Punto informatico Network

IE, Internet Explorer, Internet, explorer

Ad Internet Explorer non piacciono gli IFrame

07/07/2008
- A cura di
Zane.
Archivio - Un problema nel browser Microsoft potrebbe essere sfruttato per realizzare pagine web malevole. La patch? potrebbe ritardare parecchio.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

internet (1) , internet explorer (1) , explorer (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 190 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Questa volta è US-CERT a lanciare l'allarme circa una nuova vulnerabilità rintracciata in Internet Explorer 6, 7 ed 8 beta 1. HEINS_Internet_BROWSERS EXPLORER.png

A preoccupare è un baco nel modo in cui il navigatore Microsoft gestisce i frame in linea (IFRAME): a quanto pare infatti, IE fallisce nel restringere l'accesso ai frame di un documento, consentendo potenzialmente di realizzare una pagina web malevola, in grado di iniettare contenuti a piacimento in un sito di terze parti.

Sebbene vi siano alcune limitazioni alla portata dell'accesso (l'assalitore ad esempio non potrebbe leggere i cookie dell'altra pagina, né accedere agli elementi DOM), il problema potrebbe essere sfruttato per intercettare e loggare la pressione dei tasti, permettendo così di sottrarre credenziali d'accesso.

Il blog Sirdarckcat presenta uno screenshot molto esplicativo, in cui viene mostrato come il sito intercetti la pressione del tasto "x".

Pp.jpg

Il problema è stato ripreso e validato anche da Secunia, che attribuisce al baco un grado di pericolosità "medio". A spiegare nel dettaglio come sfruttare la debolezza è invece GNUCitizen, che paventa il rischio di contrarre un fantasma: "uno script invisibile che ti segue durante la navigazione".

In attesa di un aggiornamento che risolva il problema, l'unica soluzione è quella di disabilitare lo scripting nella zona Internet, mossa che però renderebbe praticamente inaccessibili la maggior parte dei siti web moderni. Mantenere alto il livello di guardia e assicurarsi di chiudere e ri-apire il navigatore prima di immettere dati sensibili potrebbe essere una alternativa meno sicura, ma probabilmente anche più pratica.

La patch d'altro canto potrebbe tardare: il ciclo di aggiornamenti mensili Microsoft è previsto infatti per domani, ed il gruppo potrebbe non aver avuto il tempo materiale per approntare e testare un aggiornamento specifico: in tale circostanza, il baco rimarrebbe irrisolto fino al mese prossimo.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 109
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.1