Punto informatico Network

IE, Internet Explorer, Internet, explorer

Nuova falla grave per IE

08/04/2006
- A cura di
Zane.
Archivio - Potrebbe semplificare gli attacchi di phishing la nuova falla scoperta ieri in IE. Gli utenti del browser Microsoft potrebbero rimanere esposti per parecchio tempo prima di un fix ufficiale. Ecco di cosa si tratta.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

ie (1) , falla (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 142 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Gloss PNGMicrosoft_Internet_Explorer.pngInventare titoli decenti e non ripetitivi per queste news sta iniziando a diventare davvero difficile: a poco più di una settimana dalla falla createTextRange () di cui abbiamo trattato nella notizia "È falla grave per IE" ecco spuntare una nuova, e piuttosto pericolosa debolezza nel navigatore Microsoft.

IE è infatti afflitto da un problema nel caricamento di certe animazioni Flash che, secondo Secunia permette di camuffare la barra degli indirizzi, mostrando un URL differente da quello che si sta visitando in realtà.

Sfruttando questa debolezza, un cracker potrebbe portare con facilità un attacco di phishing: per dimostrare come, Secunia ha predisposto un test (risultato efficace sulla mia macchina di prova) in cui viene aperta una finestra con indirizzo apparente www.google.com, mentre in realtà la pagina è sotto il controllo di Secunia.

IE_phished.gif

Il test è del tutto innocuo, ma è evidente che un utente ostile potrebbe creare una falsa pagina di login con la grafica di un istituto bancario, e sottrarre dati di accesso dal conto corrente della vittima.

Al momento Microsoft non ha ancora rilasciato una patch per il problema: se è vero che potrebbe renderla disponibile con il consueto ciclo di aggiornamenti mensili (previsto per martedì), l'azienda potrebbe non avere avuto tempo a sufficienza per realizzare l'hotfix, che verrebbe così rimandato al mese prossimo.

Come difendersi

In attesa di un aggiornamento ufficiale, è e bene ricordare le principali regole per la protezione dal phishing: non fare log-in su siti sensibili (banche o altri servizi on-line) seguendo i link contenuti nelle e-mail, chiudere tutte le altre finestre prima di accedere al sito della banca, installare la toolbar di NetCraft, disabilitare l'esecuzione degli script in Internet Explorer e, se possibile, sostituire del tutto IE con un browser alternativo, quale Firefox oppure Opera.

Altre indicazioni per la protezione dal phishing nell'articolo "Come difendersi dal phishing".

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 97
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11