www.MegaLab.it

Inventare titoli decenti e non ripetitivi per queste news sta iniziando a diventare davvero difficile: a poco più di una settimana dalla falla createTextRange () di cui abbiamo trattato nella notizia "È falla grave per IE" ecco spuntare una nuova, e piuttosto pericolosa debolezza nel navigatore Microsoft.

IE è infatti afflitto da un problema nel caricamento di certe animazioni Flash che, secondo Secunia permette di camuffare la barra degli indirizzi, mostrando un URL differente da quello che si sta visitando in realtà.

Sfruttando questa debolezza, un cracker potrebbe portare con facilità un attacco di phishing: per dimostrare come, Secunia ha predisposto un test (risultato efficace sulla mia macchina di prova) in cui viene aperta una finestra con indirizzo apparente www.google.com, mentre in realtà la pagina è sotto il controllo di Secunia.

Il test è del tutto innocuo, ma è evidente che un utente ostile potrebbe creare una falsa pagina di login con la grafica di un istituto bancario, e sottrarre dati di accesso dal conto corrente della vittima.

Al momento Microsoft non ha ancora rilasciato una patch per il problema: se è vero che potrebbe renderla disponibile con il consueto ciclo di aggiornamenti mensili (previsto per martedì), l'azienda potrebbe non avere avuto tempo a sufficienza per realizzare l'hotfix, che verrebbe così rimandato al mese prossimo.

Come difendersi

In attesa di un aggiornamento ufficiale, è e bene ricordare le principali regole per la protezione dal phishing: non fare log-in su siti sensibili (banche o altri servizi on-line) seguendo i link contenuti nelle e-mail, chiudere tutte le altre finestre prima di accedere al sito della banca, installare la toolbar di NetCraft, disabilitare l'esecuzione degli script in Internet Explorer e, se possibile, sostituire del tutto IE con un browser alternativo, quale Firefox oppure Opera.

Altre indicazioni per la protezione dal phishing nell'articolo "Come difendersi dal phishing".