www.MegaLab.it

Questa volta è US-CERT a lanciare l'allarme circa una nuova vulnerabilità rintracciata in Internet Explorer 6, 7 ed 8 beta 1.

A preoccupare è un baco nel modo in cui il navigatore Microsoft gestisce i frame in linea (IFRAME): a quanto pare infatti, IE fallisce nel restringere l'accesso ai frame di un documento, consentendo potenzialmente di realizzare una pagina web malevola, in grado di iniettare contenuti a piacimento in un sito di terze parti.

Sebbene vi siano alcune limitazioni alla portata dell'accesso (l'assalitore ad esempio non potrebbe leggere i cookie dell'altra pagina, né accedere agli elementi DOM), il problema potrebbe essere sfruttato per intercettare e loggare la pressione dei tasti, permettendo così di sottrarre credenziali d'accesso.

Il blog Sirdarckcat presenta uno screenshot molto esplicativo, in cui viene mostrato come il sito intercetti la pressione del tasto "x".

Il problema è stato ripreso e validato anche da Secunia, che attribuisce al baco un grado di pericolosità "medio". A spiegare nel dettaglio come sfruttare la debolezza è invece GNUCitizen, che paventa il rischio di contrarre un fantasma: "uno script invisibile che ti segue durante la navigazione".

In attesa di un aggiornamento che risolva il problema, l'unica soluzione è quella di disabilitare lo scripting nella zona Internet, mossa che però renderebbe praticamente inaccessibili la maggior parte dei siti web moderni. Mantenere alto il livello di guardia e assicurarsi di chiudere e ri-apire il navigatore prima di immettere dati sensibili potrebbe essere una alternativa meno sicura, ma probabilmente anche più pratica.

La patch d'altro canto potrebbe tardare: il ciclo di aggiornamenti mensili Microsoft è previsto infatti per domani, ed il gruppo potrebbe non aver avuto il tempo materiale per approntare e testare un aggiornamento specifico: in tale circostanza, il baco rimarrebbe irrisolto fino al mese prossimo.