20100301183449_1156708170_20100301183346_49392936_IE_rotto_pacopas_spotlight.png

Bug in MHTML: i siti web possono spiare gli utenti di Internet Explorer

01/02/2011
- A cura di
Zane.
Sicurezza - Vi sentite osservati durante la navigazione in rete? Il responsabile potrebbe essere uno script malevolo, realizzato per far leva su di un baco del browser web. Il "Fix it" temporaneo è già disponibile.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

windows (1) , bug (1) , rischio (1) .

Valutazione

  •  
Voto complessivo 3 calcolato su 4 voti

Venerdì sera della settimana scorsa, Microsoft ha pubblicato il Security Advisory numero 2501696 tramite il quale il gruppo ha messo in guardia gli utenti di tutte le versioni di Windows: un baco rintracciato nel sistema operativo può essere sfruttato per seguire come un ombra la navigazione, catturando e modificando il comportamento delle pagine web in modo potenzialmente malevolo.

Il difetto è localizzato nel gestore del protocollo MHTML (MIME Encapsulation of Aggregate HTML). Per correttezza formale, Microsoft ne parla come un baco di Windows, anche se il difetto è sfruttabile solamente da coloro che accedano al web con Internet Explorer: i prodotti concorrenti sono invece immuni.

Il baco non può essere sfruttato per eseguire codice da remoto, e prendere così il controllo del PC della vittima, ma potrebbe comunque consentire al cracker di intercettare informazioni riservate. Il blog ufficiale Microsoft Security Response Center (MSRC) ha così spiegato il funzionamento della trappola:

Un aggressore può costruire un link HTML progettato per eseguire uno script malevolo e, in qualche modo, convincere la vittima a cliccarlo. In caso l'utente cliccasse, lo script malevolo continuerebbe ad essere eseguito sul computer dell'utente per il resto della sessione corrente d'uso di Internet Explorer. Tale script potrebbe collezionare informazioni dell'utente (l'email, ad esempio), falsificare il contenuto mostrato dal browser o interferire in altro modo con l'esperienza dell'utente.

In attesa di una correzione ufficiale, l'azienda ha preparato un Fix-it automatico che disabilita la funzionalità in questione, neutralizzando così ogni attacco rivolto al componente. Il programma, in inglese ma compatibile anche con le localizzazioni italiane ed internazionali, può essere scaricato da qui e contiene anche un tool appositamente studiato per accertarsi che il problema sia stato effettivamente risolto.

Al momento non v'è ragione di affrettarsi più di tanto nell'applicare il fix: Microsoft, pur segnalando di aver rintracciato in rete un exploit preliminare (proof-of-concept), non ha ancora rilevato alcun attacco concreto rivolto a questa debolezza.

Stando alle dichiarazioni preliminari, il baco non è tanto grave da giustificare un update straordinario, in anticipo rispetto all'appuntamento mensile periodico. Con tutta probabilità quindi, l'utenza dovrà attendere almeno martedì 8 febbraio, prima di poter scaricare una patch completa.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.33 sec.
    •  | Utenti conn.: 121
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.22