www.MegaLab.it

Update: Alcuni produttori hanno rilasciato le versioni aggiornate di propri navigatori, erpurate dal problema.

• Opera Browser (problema risolto a partire dalla versione 8 beta 2)
• Mozilla Firefox (problema risolto a partire dalla versione 1.0.1)

Mozilla Suite, Konqueror, Netscape e Safari non sono ancora stati aggiornati. Ricordiamo che Internet Explorer non è afflitto da questa vulnerabilità.

Sebbene teoricamente meno pericolose di vulnerabilità remote code execution, anche le falle che permettono di alterare e celare l'identità dell'interlocutore (attacchi spoofing) possono causare notevoli problemi, soprattutto se utilizzate da un utente ostile per fingersi un istituto finanziario e rubare così i dati sensibili dell'utente ignaro (phisinig).

Dopo la voragine (non ancora corretta) di cui abbiamo dato notizia tempo fa, Mozilla, Firefox, Opera, Netscape e perfino i navigatori per piattaforme non-Microsoft, come Camino, Konqueror e Safari, espongono gli utilizzatori ad un problema analogo, ma potenzialmente ancor più pericoloso.

Di cosa si tratta

Il gruppo di sicurezza Secunia ha già preparato una pagina di test, che evidenzia un problema nella gestione di URL contenenti caratteri non-ascii (le lettere accentate italiane, "ç" francese, "ñ" spagnola e via dicendo).

Alcuni caratteri "speciali" sono così simili a quelli tradizionali che è impossibile distinguerli ad occhio: tanto per fare un esempio i caratteri "? " e "a" sono assolutamente diversi, così come "? " ed "e".

Una prova? Secunia ha registrato l'indirizzo fasullo www.payp? l.com in cui la seconda "a" è un carattere speciale, e porta ad una pagina ben diversa da quella ufficiale di Paypal, www.paypal.com: immaginate cosa potrebbe succedere se un cracker sfruttasse questa debolezza per realizzare un sito apparentemente identico a quello di un istituto di credito, ma in grado di intrappolare il vostro numero di carta di credito...

Come tutelarsi

Tutti le aziende produttrici dei navigatori fallati sono già al lavoro per risolvere il problema: per il momento raccomandiamo nuovamente di non navigare mai siti fidati (come quello della vostra banca) e non fidati (qualsiasi altra pagina!) allo stesso tempo.

Raccomandiamo inoltre di inserire manualmente l'indirizzo della vostra banca nel navigatore, e mai raggiungere un sito "critico" seguendo un link.

E Internet Explorer?

Internet Explorer per una volta si salva: il browser Microsoft non gestisce infatti i caratteri speciali, quindi tentando di aprire un URL "truffaldino" si riceverebbe semplicemente il classico messaggio "pagina non disponibile".