www.MegaLab.it

Update: Alcuni produttori hanno rilasciato le versioni aggiornate di propri navigatori, erpurate dal problema.

• Opera Browser (problema risolto a partire dalla versione beta 2)
• Mozilla Firefox (problema risolto a partire dalla versione 1.0.1)
• Mozilla Suite (problema risolto a partire dalla versione 1.7.5)
• Konqueror (problema risolto applicando questa e questa patch a KDE 3.2.3)
• Safari (problema risolto applicando il Security Update 2005-001)

Internet Explorer e Netscape Navigator non sono ancora stati aggiornati.

Una pericolosa falla è stata rilevata in questi giorni per tutti i browser web in circolazione: Firefox, Opera, Internet Explorer, Mozilla, Konqueror, Safari, Netscape...nessuno è al sicuro.

Più che un vero e proprio difetto di programmazione si tratta di una mancanza a livello di progettazione, che potrebbe permettere ad un sito web malevolo di prendere il controllo di un popup aperto da un altro sito.

La situazione è da considerarsi estremamente pericolosa: sfruttando questa falla, ad esempio, un utente ostile potrebbe modificare un popup aperto da una banca, inserendo in questo una richiesta di numero di carta di credito, PIN, password di accesso per i servizi di e-Banking e via dicendo.

La debolezza è causata dal modo in cui i browser web aggiornano le informazioni contenute nei popup: nessun browser infatti controlla che il sito che richiede l'aggiornamento del popup sia lo stesso che l'ha originato.

Il test

Secunia mette a disposizione un test per verificare se il vostro sistema è vulnerabile:

1) Aprite la pagina del test

2) Cliccate su uno dei link per avviare il test: utilizzate Test Now - With Pop-up Blocker se avete installato un programma blocca-popup (attenzione, molti browser di ultima generazione hanno questa funzionalità integrata) oppure Test Now - Without Pop-up Blocker se i popup si aprono regolarmente durante la navigazione.

Verrà aperto il sito di una banca, CitiBank, in una nuova finestra. Da notare che fino a qui tutto è regolare: l'indirizzo è effettivamente quello della banca e le pagine sono autentiche.

Cliccate ora sull'immagine relativa alla protezione dalle e-mail fraudolente che trovate nella pagina. Ha questo aspetto:

5) Visualizzerete un popup, generato dalla banca: se il vostro navigatore è immune, vedrete la regolare pagina della banca.

Ma in caso foste esposti al pericolo, vedrete una schermata di Secunia:

In questo caso la pagina è innocua, ma pensate se il gruppo di sicurezza avesse copiato il layout del sito CitiBank nel popup, chiedendovi di inserire password, numero di conto corrente, PIN e/o carta di credito, e spendendo questi dati al proprio server: senza neppure l'ausilio dell'URL ad aiutarvi, come accorgersi della truffa?

Nessun aggiornamento è stato ancora distribuito per alcun prodotto fra quelli coinvolti: per mettersi al sicuro dalla vulnerabilità, raccomandiamo di chiudere ogni altra finestra del navigatore prima inserire informazioni all'interno di un modulo, o, ancora meglio, di non navigare su siti fidati e non-fidati nello stesso momento.