Due ricercatori italiani Stefano Di Paola e Giorgio Fedon hanno mostrato in una presentazione intitolata “Subverting AJAX” la possibilità di bucare il plugin di Acrobat presente nei browser per permettere l’esecuzione di codice javascript malevolo.
“La facilità con cui questa falla può essere utilizzata è disarmante, pensate che chiunque ospita file PDF, anche siti di comprovata fiducia può essere complice di atti illeciti”, dice Hon Lau di Symantec.
Il tipo di attacco è chiamato ” universal cross-site scripting” che usa una falla nel browser, e non nel sito: si tratta in pratica di esecuzione involontaria di codice tramite una URL.
I due ricercatori italiani hanno sottolineato come i molti servizi che oggi usano AJAX devono prestare molta attenzione a queste possibili vulnerabilità.
Il problema che ha coinvolto una sessantina di utenti di Gmail potrebbe essere collegato ad un attacco di questo tipo.
Consiglio per approfondire la lettura del documento della presentazione, anche se si tratta di un PDF.
Seguici
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
Benji80
20 lug 2008 - 15:08 - #1Ho letto tutto il documento… davvero molto interessante!