Il plugin di Acrobat vulnerabile: AJAX croce e delizia del Web 2.0

Subverting AJAX e una falla di Acrobat Reader
Due ricercatori italiani Stefano Di Paola e Giorgio Fedon hanno mostrato in una presentazione intitolata "Subverting AJAX" la possibilità di bucare il plugin di Acrobat presente nei browser per permettere l'esecuzione di codice javascript malevolo.

"La facilità con cui questa falla può essere utilizzata è disarmante, pensate che chiunque ospita file PDF, anche siti di comprovata fiducia può essere complice di atti illeciti", dice Hon Lau di Symantec.

Il tipo di attacco è chiamato " universal cross-site scripting" che usa una falla nel browser, e non nel sito: si tratta in pratica di esecuzione involontaria di codice tramite una URL.
I due ricercatori italiani hanno sottolineato come i molti servizi che oggi usano AJAX devono prestare molta attenzione a queste possibili vulnerabilità.
Il problema che ha coinvolto una sessantina di utenti di Gmail potrebbe essere collegato ad un attacco di questo tipo.

Consiglio per approfondire la lettura del documento della presentazione, anche se si tratta di un PDF.

  • shares
  • +1
  • Mail
1 commenti Aggiorna
Ordina: